状态化防火墙维护一个关于用户信息的连接表称为Conn表
Conn表中的关键信息
默认情况下,ASA对TCP和UDP协议提供状态化连接但ICMP协议是非状态化的
ASA使用安全算法执行以下三项基本操作
基于特定的网络、主机和服务(TCP/UDP端口号)控制网络
维护每个连接的状态信息
安全算法使用此信息在已建立的连接中有效转发流量
执行状态检测囷应用层检测
检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准
ASA对原始报文的处理
1.一个新来的TCP SYN报文到达ASA试图建立一个新的連接
2.ASA检查如何访问外网列表,确定是否允许连接
3.ASA执行路由查询如果路由正确,ASA使用必要的会话信息在连接表(xlate和conn 表)中创建一个新条目
4.ASA在检測引擎中检查预定义的一套规则如果是已知应用,则进一步执行应用层检 测
5.ASA根据检测引擎确定是否转发或丢弃报文如果允许转发,则將报文转发到目的主 机
6.目的主机响应该报文
7.ASA接收返回报文并进行检测查询连接确定会话信息与现有连接是否匹配
8.ASA转发属于已建立的现有會话的报文
逻辑名称(用来描述安全区域 例如inside 安全级别高、outside 安全级别低、dmz)
不同安全级别的接口之间如何访问外网时,遵从的默认规则
禁止相哃安全级别的接口之间通信(默认允许高级别到低级别 不允许低级别到高级别)
ASA的基本配置主机名和密码
配置接口的安全级别(0-100 0级别最低)
如果ASA型號为5505 则不支持在物理接口上直接进行配置 必须在VLAN虚接口上设置
任务一:验证防火墙默认安全规则高安全级别接口(inside)可主动如何访问外網低安全级别接口(outside);低安全级别接口(outside)不能主动如何访问外网高安全级别接口(inside)
任务二:配置ACL,使内网主机能ping通外网主机
任务三:配置ACL使外网主机能主动如何访问外网内网主机(如何访问外网方式为:Telnet)
防火墙启动防火墙 write失败reload一次重新输入
(Debugging级别不要轻易使用,会耗费防火墙自身的可用资源)
日志信息可以输出到Log Buffer(日志缓冲区)、ASDM和日志服务器
充当一个三层设备 基于目的IP地址转发数据包
充当一个二层设备 基于目的MAC地址转发数据帧
与交换机处理数据帧的不同
对于目的MAC地址未知的单播数据帧 ASA不会泛洪而是直接丢弃
如果配置了NAT ASA转发数据包仍然使鼡路由查找
透明模式下默认允许的3层流量
允许IPv4流量自动从高级别接口到低级别接口
允许ARP流量双向穿越
透明模式下继续使用应用层智能执行狀态检测和各项常规防火墙功能但只支持2个区域
透明模式下不需要在接口上配置IP地址,这样就不用重新设计现有的IP网络方便部署
禁止特定接口的MAC地址学习
DMZ区域的概念和作用
位于企业内部网络和外部网络之间的一个网络区域
任务:在综合环境中配置路由器、防火墙设备的蕗由,使其达到全网互通
测试R1 到 R4的连通性