防火配置墙维护手册0822Word文档格式.docx
《防火配置墙维护手册0822Word文档格式.docx》由会员分享,可在线阅读,更多相关《防火配置墙维护手册0822Word文档格式.docx(41页珍藏版)》请在冰豆网上搜索。
文档控制
修改记录
日期
作者
版本
2007/08/22
V1.0
完稿
审阅人
备注
分发记录
拷贝No.
姓名
分发时间
单位
目录
第一章防火墙技术点6
1.1功能介绍6
1.2防火墙端口6
1.2.1Inside7
1.2.2Outside7
1.2.3DemilitarizedZone8
1.3ACL(Accesslist)8
1.3.1ACL的基本原理、功能与局限性8
1.3.2三种主要的访问列表:
9
1.3.2.1标准访问列表9
1.3.2.2扩展访问列表10
1.3.2.3命名访问列表13
1.3.3ACL要点13
1.3.4ACL配置显示14
1.4NAT(NetworkAddressTranslation)14
1.4.1NAT介绍14
1.4.2NAT术语15
1.4.3NAT的种类16
1.4.3.1StaticNAT(静态地址转换)17
1.4.3.2DynamicNAT(动态地址转换)20
1.4.3.3PAT(端口地址转换)21
1.5路由(route)23
1.5.1路由原理23
1.5.2路由协议24
1.5.3静态路由25
1.6FAILOVER26
1.6.1FAILOVER介绍26
1.6.2TheFailoverandStatefulFailoverLinks27
1.6.3Active/ActiveandActive/StandbyFailover28
1.6.4Inter-ChassisFailover29
1.7应用安全(ApplicationLayerProtocolInspection)30
1.7.1StatefulInspection介绍30
1.7.2ApplicationProtocolInspection的应用32
1.7.3默认配置32
第二章防火墙体系结构34
2.1FWSM结构34
2.2ASA5520结构35
第三章网络拓扑结构36
3.1FWSM网络结构36
3.2ASA5520网络结构37
第四章防火墙配置说明38
4.1FWSM基本配置38
4.1.1交换机配置38
4.1.2FWSM配置38
4.1.3Context配置(例)40
4.2ASA5520配置(例)42
第五章FWSM管理维护47
5.1软件管理47
5.1.1快速软件升级48
5.1.2登陆应用分区49
5.1.3登陆维护分区49
5.2改变和恢复口令49
5.2.1改变应用分区口令49
5.2.2恢复应用分区口令49
第一章防火墙技术点
本项目防火墙包括了ASA5520和FWSM,项目中所用到的主要技术点现统计如下:
一.1功能介绍
Firewallsprotectinsidenetworksfromunauthorizedaccessbyusersonanoutsidenetwork。
Afirewallcanalsoprotectinsidenetworksfromeachother,forexample,bykeepingahumanresourcesnetworkseparatefromausernetwork。
Ifyouhavenetworkresourcesthatneedtobeavailabletoanoutsideuser,suchasaweborFTPserver,youcanplacetheseresourcesonaseparatenetworkbehindthefirewall,calledademilitarizedzone(DMZ)。
ThefirewallallowslimitedaccesstotheDMZ,butbecausetheDMZonlyincludesthepublicservers,anattackthereonlyaffectstheserversanddoesnotaffecttheotherinsidenetworks。
Youcanalsocontrolwheninsideusersaccessoutsidenetworks(forexample,accesstotheInternet),byallowingonlycertainaddressesout,byrequiringauthenticationorauthorization,orbycoordinatingwithanexternalURLfilteringserver。
Whendiscussingnetworksconnectedtoafirewall,theoutsidenetworkisinfrontofthefirewall,theinsidenetworkisprotectedandbehindthefirewall,andaDMZ,whilebehindthefirewall,allowslimitedaccesstooutsideusers。
Becausethesecurityapplianceletsyouconfiguremanyinterfaceswithvariedsecuritypolicies,includingmanyinsideinterfaces,manyDMZs,andevenmanyoutsideinterfacesifdesired,thesetermsareusedinageneralsenseonly。
一.2防火墙端口
防火墙一般将网络分为inside、outside和dmz三个区(如图1-1),具体每个区对应的接口需要在配置中指定,而且每个区可以对应不同的安全级别,高级别的缺省可以访问低级别的区域,低级别的区域是限制访问高级别区域的。
图1-1三区域
一.2.1Inside
TheinsideinterfaceconnectsthetrustedsectionofthenetworktountrustedareassuchastheDMZandInternet。
It'
sworthkeepinginmindthattrustedareasmightnotalwaysbemadeupofusersneedingprotectiononlyfromtheInternet,theymightalsorequireprotectionfromotherinternalcorporateusers。
Forexample,anengineeringteammightneedtoprotectitssecretwidgetnetworkfromtheprobingeyesofotheruserswithinthecompany;
thecomputershostingthetop-secretwidgetdatawouldthenbeattachedtotheinsideinterfaceofaPIXfirewall。
一.2.2Outside
Theoutsideinterfaceconnectsthefirewalltothemostuntrustedareas,suchastheInternet。
Afirewall'
sprimaryfunctionistoprotecttheDMZandinsideareasfromundesiredtrafficoriginatingfromtheoutsideinterface。
TrafficfromtheinsideandDMZcantravelthroughtheoutsideinterfacetotheuntrustedarea,buttrafficfromtheuntrustedareaisblockedfromentering。
ConsiderJack,forexample,auserontheinsideinterfacewhoisallowedtoconnecttotheInternetandcheckforthelatestGPSsoftwarereleasedates。
Ontheotherhand,JimmytheevilhackercannotconnecttoJack'
scomputerbecauseJimmy'
strafficisoriginatingontheoutsideinterface。
Ifnecessary,afirewallcanallowtrafficinitiatedfromtheoutsidetoconnecttocomputerswithintheDMZorinsidearea。
However,youmustmanuallyconfigurethefirewalltoallowthistraffic,andindoingsoyoueffectivelyallowasecurityhole。
So,becareful。
ThemoretrafficyouallowfromtheoutsidetoinsideorDMZareas,thehigherprobabilityahackerwillfindanopenIPaddressorportandsendanattacktowardit。
So,typicallyafewholesarecreatedtoallowonlywhatisrequiredthrough。
Forexample,port80mightbeopenedtoallowtraffictopassthroughthefirewalltoaWebserverinaDMZare
升级会员 