收藏
下载资源

PIX_ASA_虚拟防火墙配置

上传人:20****03 文档编号:178994675 上传时间:2021-04-06 格式:DOC 页数:10 大小:395KB
返回 下载 相关 举报
PIX_ASA_虚拟防火墙配置_第1页
第1页 / 共10页
PIX_ASA_虚拟防火墙配置_第2页
第2页 / 共10页
PIX_ASA_虚拟防火墙配置_第3页
第3页 / 共10页
PIX_ASA_虚拟防火墙配置_第4页
第4页 / 共10页
PIX_ASA_虚拟防火墙配置_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《PIX_ASA_虚拟防火墙配置》由会员分享,可在线阅读,更多相关《PIX_ASA_虚拟防火墙配置(10页珍藏版)》请在金锄头文库上搜索。

1、防火墙是在两个或者多个安全区域,利用策略对连接的多个区域之间进行流量控制。纵观防火墙的发展历史,经历了无状态过滤防火墙,应用代理防火墙,基于状态的防火墙以及应用防火墙。 目前防火墙融合了很多功能,例如VPN、远程访问、IDS/IPS、反病毒、内容的深层过滤、负载均衡等。但是丰富了安全功能性,同时也带来了很多挑战性。能不能很好的利用这些功能,需要对网络进行合理的设计。 随着安全的不断发展,客户的要求也在不断的变化,从而提出了很多防火墙的新概念,例如虚拟防火墙、模块策略结构MPF(modular policy framework)、透明防火墙。t 虚拟防火墙概念的提出是因为客户需要对不同的部门进行

2、不同的安全策略控制,而且这些安全策略是独立的。PIX 7.0提出了context,分为admin context 与context,首先配置admin context 对其他context进行配置管理。所有这些context的防火墙是相互独立。admin context是用于创建新的context和改变系统的context,可以看到整个防火墙的syslog。虚拟防火墙能简化网络安全的管理,一台设备实现多台设备的功能,同时也降低了成本。PIX虚拟防火墙虽然能带来一定的功能,但同时也限制了一些功能的使用,虚拟防火墙不支持VPN、web VPN、动态路由协议、组播通信等。每个虚拟防火墙共享一个流量,

3、当一个虚拟防火墙占用了过多流量,那么就会减少其他虚拟防火墙的流量。 模块化策略采用更加灵活的策略过滤,例如PIX 7.0以前的版本只能针对所有的TCP连接或者某一个网段的TCP连接设置最大连接数,而模块化的策略能对具体的TCP协议类型进行更加细化灵活的控制。 应用层防火墙提供了极强的应用层安全性,能对Http等应用层协议的一些具体命令进行过滤,能进行内容过滤,url过滤,能进行状态检查、安全性检查,同时提供了NAT/PAT的支持,动态分配端口号。 应用层防火墙防止基于web的攻击应用非常广泛,因为企业都不会block 80端口,但是很多黑客都利用80端口进行攻击,而且很多软件都走80端口进行数

4、据传输。比如http message等,因此要过滤这些数据需要检查Http message 的数据头是否符合标准的rfc标准或者扩展的方法,如果不符合可以进行阻拦。而且可以检查http包的长度、包的request长度、url长度等进行检查采取相应的动作。还可对ftp 的21端口进行深度检查,通过指定ftp的命令范围防范恶意的攻击。 pix防火墙,TCP穿越防火墙传输采用syn随机化处理,防止外网黑客监听猜测syn number来模仿server建立TCP连接。 透明防火墙是相对于路由模式防火墙而言的。路由防火墙的两边的IP地址是在不同网段的,当用户需要把防火墙加入到网络中时,不想改变两边的网络

5、网段,因此需要个透明防火墙,把两个VLAN桥接在一起。内网与外网的IP地址不做任何变化,都用同一个网关。 透明防火墙能让路由协议通过防火墙,同时也让HSRP、VRRP、GLBP等协议能穿过防火墙,还能让组播协议、 IPX、MPLS、BPDUS等穿过防火墙。透明防火墙的IP地址在作为内部网络的网关而是只用于对防火墙进行管理而用,内网的网关依然是原来的网关。透明防火墙能让防火墙快速的融入到网络中。 防火墙的高可用性,当主防火墙出现问题或者连接中断时,利用state 和 heartbeate两种方法,用heartbeate通知备用防火墙取代主防火墙同时用state把主防火墙在中断前的所有连接信息移植

6、到备用防火墙,从而不用重新建立连接。pix 7.0支持active-active模式的高可用性,是利用虚拟防火墙技术实现的。能对网络的流量进行分流的控制。我们可以将一个单一的物理防火墙逻辑上分为多个虚拟防火墙,每个虚拟防火墙都是独立的设备,它们有自己独立的安全策略、接口和管理接口;ASA会为每个虚拟防火墙保存一个配置文件,以保存每个虚拟防火墙的这些策略和配置;这些配置文件可以保存在本地,可以保存在外部服务器上;许多特性在多虚拟防火墙模式下都被支持,包括routing table、防火墙特性、IPS以及管理,但是也有一些特性不被支持,包括VPN、组播以及动态路由协议;Pix防火墙分为单模式即作为

7、单一物理防火墙,多模式支持虚拟化防火墙一、系统配置模式二、虚拟防火墙配置模式三、context可以理解为一个虚拟防火墙系统配置 在系统配置下,我们可以创建、删除、修改以及管理虚拟防火墙。比如我们在系统配置下面创建虚拟防火墙,并且指定将哪些接口分配给哪些虚拟防火墙等,只有在系统配置下创建了虚拟防火墙后,我们才可以使用changeto命令到单个虚拟防火墙下对其进行配置,虚拟防火墙的配置和物理防火墙的配置方法一样,只不过不支持动态路由协议、组播以及VPN; 系统配置中除了包含有指定的Failover接口外,不包含任何接口; Admin Context Admin context 和其他虚拟防火墙一样

8、,只是用户登录到该虚拟防火墙上以后,就拥有了系统管理员的权限,并能够访问系统以及其他虚拟防火墙;虚拟防火墙必须存储在Flash中,不能够存储在外部服务器上; Admin context必须先于其他的虚拟防火墙进行创建和配置,如果系统已经在多模式或从single模式切换到多模式下的时候,admin context会在Flash中自动创建一个admin.cfg文件。如果不想使用admin.cfg作为admin context,你可以使用admin-context命令改变;全局下改变防火墙的运行模式为多模式;使用命令:show mode查看当前路由器运行的模式,如果是single模式,那么使用mod

9、e multiple命令启用多虚拟防火墙;实验拓扑: 这个拓扑中,中间的PIX配置三个虚拟防火墙,Ethernet0连接到一个3550交换机的TRUNK端口,分别接到三个不同的VLAN,外口Ethernet1连接到Internet,试验中可以使用一台路由器代替。由于这里Ethernet0是和交换机的TRUNK端口相连,来接收不同VLAN的流量,所以这里使用子接口为TRUNK去VLAN标签,并将这些子接口分配给各个虚拟防火墙,是内部各个VLAN都能访问Internet首先配置3550交换机:interface FastEthernet0/2switchport access vlan 2!int

10、erface FastEthernet0/3switchport access vlan 3!interface FastEthernet0/4switchport access vlan 4!interface FastEthernet0/10 /和PIX的Ethernet0口相连switchport trunk encapsulation dot1q /PIX的默认的TRUNK类型就是dot1qswitchport trunk allowed vlan 2,3,4switchport mode trunk -PIX的配置:changeto system: /切换到系统模式进行整体的全局配置

11、interface Ethernet0no shutdown!interface Ethernet0.2 /创建子接口vlan 2 /为子接口进行封装,去VLAN标签interface Ethernet0.3vlan 3interface Ethernet0.4vlan 4!interface Ethernet1 no shutdown!admin-context admin /指定管理虚拟防火墙名称为admincontext admin /创建虚拟防火墙adminallocate-interface Ethernet0.2 Intf1 /分配E0.2子接口到虚拟防火墙admin,别名是Int

12、f1allocate-interface Ethernet1 Intf0 /分配接口E1到虚拟防火墙admin,别名是Intf0config-url flash:/admin.cfg /指定该虚拟防火墙的配置文件!context DepartmentA /创建虚拟防火墙名称为DepartmentAallocate-interface Ethernet0.3 Intf1allocate-interface Ethernet1 Intf0config-url flash:/DepartmentA.cfg!context DepartmentBallocate-interface Ethernet0

13、.4 Intf1allocate-interface Ethernet1 Intf0config-url flash:/DepartmentB.cfg-changeto context admin:/切换到虚拟防火墙admin中interface Intf1nameif insidesecurity-level 100ip address 192.168.2.1 255.255.255.0!interface Intf0mac-address 00aa.0000.01c1nameif outsidesecurity-level 0ip address 192.168.1.10 255.255.255.0 -changeto context DepartmentA:interface Intf1nameif insidesecurity-level 100ip address 192.168.3.1 255.255.255.0!interface Intf0mac-address 00aa.0000.01c2nameif outsidesecurity-level 0ip address 192.168.1.11 255.255.255.0 -

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号