易妙乐---下载镜像
policy-map global_policy
class inspection_default
inspect icmp ---- 开启ASA放行ICMP的ping测试(默认关闭)
1、概念
位于内、外网之间的网络控制系统
默认是拒绝所有的
2-4层,可以限制主机与主机或者服务与服务之间的连接
5-7层,可以过滤允许服务中的内容信息
DMZ:非军事化管理区域 服务器
2、分类
实现方式:软\硬件
检测技术:
【1】静态包过滤
---通过IP地址、端口号等数据包的特征,明确指定主机之间的策略
特点:对于三层的流量是精确的
部署麻烦,需要配置来回的策略
对于三层以上的内容过滤则无法满足
【2】服务代理
---用户将服务提交到防火墙,再由防火墙将服务映射到内网
特点:3-7层的访问控制
不是所有功能都能实现
无法满足实时流量需求
不透明
【3】状态检测
---通过配置某一个方向的策略,防火墙能够根据数据包的状态判断是否要放行后续的报文
特点:部署相对简单
无法洞察5-7层的数据内容
3、功能
路由交换 入侵防护 病毒防护 上网行为管理
VPN接入 负载均衡 远程接入
4、工作模式
二层墙:主机工作在同一个网段(透明模式)
三层墙:工作在网络层及以上(路由模式)
混合模式
5、思科ASA
1)firepower
底层是ASA,功能模块用的是firepower
2)基础命令:
ciscoasa# clear configuration --- 擦除running-configuration
ciscoasa# write erase --- 擦除startup-configuration
3)特点
接口必须定义一个nameif
4)管理
(management-only --- 设置管理口)
特性:允许到达ASA的流量
不允许经过ASA的流量
可以支持路由协议
可以被设置为VPN 的对等体
配置:
ciscoasa(config)# int m0/0
ciscoasa(config-if)# nameif management
ciscoasa(config-if)# setup
Pre-configure Firewall now through interactive prompts [yes]?
Firewall Mode [Routed]:
Enable password [123]:
Clock (UTC):
Year [202
