网络设计-CISCO防火墙.ppt
《网络设计-CISCO防火墙.ppt》由会员分享,可在线阅读,更多相关《网络设计-CISCO防火墙.ppt(65页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻 击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如
2、Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。连接不受信网络区域连接受信网络区域在连接受信网络区域和非受信网络区域之间的区域,一般称为DMZ。防火墙的概念防火墙的硬件发展过程:1、一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采用这种方式开发
3、。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品3、采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能。代表产品有junipher公司的CISCO 208产品、CISCO 500等防火墙产品。防火墙的发展历程A的报文如何能最快的到B?网络A如何和网络B互联互通?过来一个报文立刻转发一个报文。网络A 网络B交流路由信息这个访问是否允许到B?这个TCP连接是合法连接吗?这个访问是否是一个攻击行为?路由器的特点:保证互联互通。按照最长匹配
4、算法逐包转发。路由协议是核心特性。防火墙的特点:逻辑子网之间的访问控制,关注边界安全基于连接的转发特性。安全防范是防火墙的核心特性。由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性。防火墙和路由器的差异按照防火墙实现的方式,一般把防火墙分为如下几类:包过滤防火墙(Packet Filtering)包
5、过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。代理型防火墙(application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于
6、动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。防火墙的分类IP包过滤技术 包过滤利用定义的特定规则过滤数据包。对防火墙需要转发的数据包,防火墙直接获得其IP源地址、目的地址、TCP/UDP的源端口、目的端口等包头信息。然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制策略(policy)。Internet公司总部内部网络未授权用户办事处访问控制policy 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):IP报头 TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说,这5个元素组成了一个
7、TCP相关,访问控制列表就是利用这些元素定义的规则 状态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法访问。状态检测技术状态防火墙包处理流程防火墙基础区域防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4 防火墙上主要有4个安全区域:非受信区(Untrust):低级的安全区域.通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域
8、想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。非军事化区(DMZ):中度级别的安全区域。停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。受信区(Trust):较高级别的安全区域.通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。管理区域(MGT):管理区 此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。防火墙基础区
9、域Ethernet外部网络EthernetCISCOASA5510ServerServerTrustUntrustDMZethernet3/1ethernet3/2ethernet2/1内部网络防火墙基础区域防火墙基础转发规则路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间不允许来自的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所有从DMZ区域的数据报转发到UnTrust区域 域间的数据流分两个方向:入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;出方向(outbound):数据由高级别
10、的安全区域向低级别的安全区域传输的方向。MGT区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOut防火墙基础转发规则 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃 接口没有加入域之前不能转发报文Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOut防火墙基础转发规则路由模式透明模式混合模式防火墙基础模式分类防火墙基础路由模式可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到
11、进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。防火墙基础透明模式透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备处于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。防火墙基础混合模式混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热
12、备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。目前很多新型防火墙已经支持透明模式下的双机热备。防火墙基础双机热备什么是双机热备?所谓双机热备其实是双机状态备份,当两台防火墙,在确定主从防火墙后,由主防火墙进行业务的转发,而从防火墙处于监控状态,同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息,当主防火墙出现故障后,从防火墙会及时接替主防火墙上的业务运行。内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护CISCO ASA5500系列
13、防火墙简介 Cisco ASA 5500 系列自适应安全设备是思科专门设计的解决方案,能够将最高的安全性和VPN服务与全新的自适应识别和防护(AIM)有机的结合在一起。Cisco ASA 5500 系列能夠在一个平台中提供多种已经过市场验证的技术,无论从技术角度还是从经济角度看,都能夠为多个地点部署各种安全服务。利用其多功能安全元件,企业几乎不需要作任何两难选择,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本。ASA5500 系列特性与优势 专用的实时嵌入式操作系统(不易被攻击),ASA 自适应安全算法。经过市场验证的安全性VPN功能 全特性、高性能的防火墙,入侵防范(
14、IPS),网络防病毒和IPSec/SSL VPN 技术提供了强大的应用安全性,基于用户和应用的访问控制,蠕虫与病毒抑制,恶意代码防护以及远端用户/站点连接。独特的自适应识别与防护架构利用高度可定制的针对流的安全策略,企业能夠适应和扩展 Cisco ASA 5500系列的安全服务组合。安全策略允许企业根据应用要求定制安全需求,并通过用户可安裝的安全服务模块(SSM)提供性能和安全服务可扩展性,降低部署和运营成本 这种多功能的设备可实现平台、配置和管理的标准化,从而降低部署与日常运营成本。Interface Module Bays4个 EthernetManagementConsoleCISCO
15、ASA5500系列防火墙简介2个USB参数 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540用户数/节点数 无限制 无限制 无限制带宽吞吐率 高达300 Mbps 高达450 Mbps 高达650 Mbps3DES/AES IPSec VPN吞吐率(安全过滤带宽)高达170 Mbps 高达225 Mbps 高达325 MbpsIPSec VPN 对 50/150*300/750*500/2,000*/5,000*WebVPN 对 50/150*300/750*500/1,250*/2,500*最大连接数量 32,000/64,000*130,000 28
16、0,000最大连接数量/秒 6,000 9,000 20,000集成单元3+1 个快速以太网口 4 个千兆以太网口 4 个千兆以太网口高可用性支援 主用/备用*主用/主用和主用/备用 主用/主用和主用/备用SSM 扩展插槽 1个 1个 1个ASA5500 系列性能参数Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540处理器 1.6 GHz 2.0 GHz 2.0 GHz存储器 256 MB 512 MB 1024 MBFLASH 64 MB 64 MB 64 MB缓存 256 KB 256 KB 512 KBASA5500 系列技术规格内容 防火墙基础知识
17、 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护ISMP平台防火墙的典型组网方式内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护ASA5510防火墙配置规划 主机名规划 区域及接口用途规划 IP地址规划 路由规划 地址映射规划 安全策略规划 SNMP、NTP、DNS、LOG及其它 主机名规划ISMP 工程中防火墙设备主机名命名方案统一规划为:省名+ISM
18、P+设备型号_To 外网名_ 序号本次工程中CISCO 防火墙型号只有ASA5510 一种。例:安徽电信ISMP 平台连接163 公网的2 台防火墙分别命名为 AH_ISMP_ASA5510_To163_1 AH_ISMP_ASA5510_To163_2区域及接口用途规划区域(Zones):简单网络只需要trust、untrust、DMZ、HA等。在ISMP系统防火墙上,可以把ISMP系统放置于Trust区,ISMP平台所连接的电信外围设备放置于DMZ区,Internet放置于Untrust区。接口(Interface):ASA5510共有 1个业务插槽,接口命名及用途规划参考IP地址规划。规
19、划接口用途时应考虑双机热备的心跳接口。IP地址规划接口类型 接口名称 IP/Netmask 区域 VirtualRouter 用途电口 Ethernet0/0 0.0.0.0/0 HA trust-vr STATE Failover电口 Ethernet0/1 0.0.0.0/0 HA trust-vr LAN Failover电口 Ethernet0/2-电口 Ethernet0/3-千兆单模 GigabitEthernet1/0 61.192.194.1/29 Untrust Trust-vr ToDCN千兆单模 GigabitEthernet1/0-千兆多模 GigabitEtherne
20、t1/0 172.18.128.9/29 trust Trust-vr To Inside千兆多模 GigabitEthernet1/0 暂无 DMZ Trust-vr To DMZ电口 Management0/0 192.168.1.5/24 mgt Trust-vr 带外管理口路由规划简单情况只需要配置inside/outside 方向的静态路由,复杂情况,可启用动态路由协议。地址映射规划 在ISMP平台应用中,各接口机和门户服务器需做地址映射以提供网外访问。示例如下:主机名 IP 主机说明163 mappedIPDCN mappedIPismp_db172.18.129.10/27数据库
21、主机61.132.240.70 134.64.104.10db_cc172.18.129.11/27数据库/控制中心备机61.132.240.71 134.64.104.11ismp_cc172.18.129.12/27控制中心主机61.132.240.72 134.64.104.12pkg_db172.18.129.13/27数据库浮动IP61.132.240.73 134.64.104.13pkg_cc172.18.129.14/27控制中心浮动IP61.132.240.74 134.64.104.14cell_manager172.18.129.20/27DP备份软件管理机61.132.
22、240.68 134.64.104.20ismp_test172.18.129.9/27ISMP测试系统61.132.240.69 134.64.104.9ismp_skt172.18.129.40/27接口机主机61.132.240.80 134.64.104.40skt_ptl172.18.129.41/27接口机/门户机备机61.132.240.81 134.64.104.41ismp_ptl172.18.129.42/27门户机主机61.132.240.82 134.64.104.42skt172.18.129.43/27接口机浮动IP61.132.240.83 134.64.104.
23、43ptl172.18.129.44/27门户机浮动IP61.132.240.84 134.64.104.44安全策略规划一设备登录控制 网络设备配置需要保护,防止非授权访问非常重要。各种登录账户、权限需求在实施配置前也必须进行详细调研规划。可主要考虑console、telnet、SSH、WEBUI等授权访问方式中的登录账户、权限及密码规划。安全策略规划二业务访问控制主机内网IP 公网IP开放端口 备注 WEB SERVICE172.18.131.200 61.132.240.100 9081PCS 维护台1 172.18.131.181 61.132.240.97 5631、5632PCS
24、维护台2 172.18.131.182 61.132.240.98 5631、5632PCS 维护台3 172.18.131.183 61.132.240.99 5631、5632门户服务器172.18.131.206 61.132.240.101 80、8080、8181、5631、5632SMC160 172.18.136.16061.132.240.102 134.64.104.1315016、5631、56323G SCP 172.18.136.243 61.132.240.103 5631、5632LCS OMM 172.18.139.133 61.132.240.104 5631、
25、5632短信网关172.18.136.177/2261.132.240.105 134.64.104.1305631、5632SNMP、NTP、DNS、LOG等 SNMP:简单网络管理协议。需要规划确认只读、可写字符串(community),SNMP trap的IP地址等信息。NTP:时钟同步。ntp server最好设置一个主用时钟,一个备用时钟。Logging:日志系统。需要规划确认日志服务器的IP地址及日志接收级别。DNS:域名系统。ISMP平台一般不需要。设备域名后缀。ISMP平台一般不需要。其他(略)内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 设计 CISCO 防火墙
限制150内