防火墻技術(shù)分類(lèi)
防火墻技術(shù)分為三種：包過(guò)濾防火墻，代理防火墻，狀態(tài)包過(guò)濾
1、包過(guò)濾防火墻：使用ACL控制進(jìn)入或離開(kāi)的網(wǎng)絡(luò)流量，ACL可以匹配包的類(lèi)型或其他參數(shù)（如源IP地址，目的ip地址，端口號(hào)等）來(lái)制定。該類(lèi)防火墻有以下不足:
? ACL制定和維護(hù)都比較困難
? 可以使用IP欺騙很容易繞過(guò)ACL
2、代理防火墻：也叫做代理服務(wù)器。他在OSI的高層檢查數(shù)據(jù)包，然后和制定的規(guī)則相比較，如果數(shù)據(jù)包的內(nèi)容符合規(guī)則并且被允許，那么代理服務(wù)器就代替源主機(jī)向目的地址發(fā)送請(qǐng)求，從外部主機(jī)收到請(qǐng)求后，在轉(zhuǎn)發(fā)給被保護(hù)的源請(qǐng)求主機(jī)。代理防火墻的缺點(diǎn)就是性能問(wèn)題，由于代理防火墻會(huì)對(duì)每個(gè)經(jīng)過(guò)它的包都會(huì)做深度檢查，即使這個(gè)包以前檢查過(guò)，所以對(duì)系統(tǒng)和網(wǎng)絡(luò)的性能都有很大的影響。
3、狀態(tài)包過(guò)濾防火墻：Cisco ASA就是使用的狀態(tài)包過(guò)濾防火墻，該防火墻會(huì)維護(hù)每個(gè)會(huì)話(huà)的狀態(tài)信息，這些狀態(tài)信息寫(xiě)在狀態(tài)表里，狀態(tài)表的條目有源地址，目的地址，端口號(hào)，TCP序列號(hào)信息以及每個(gè)tcp或udp的其他的標(biāo)簽信息。所有進(jìn)入或外出的流量都會(huì)和狀態(tài)表中的連接狀態(tài)進(jìn)行比較，只有狀態(tài)表中的條目匹配的時(shí)候才允許流量通過(guò)。防火墻收到一個(gè)流量后，首先查看是否已經(jīng)存在于連接表中，如果沒(méi)有存在，則看這個(gè)連接是否符合安全策略，如果符合，則處理后將該連接寫(xiě)入狀態(tài)表；如果不符合安全策略，那么就將包丟棄。狀態(tài)表也叫Fast path，防火墻只處理第一個(gè)包，后續(xù)的屬于該連接的包都會(huì)直接按照Fast Path轉(zhuǎn)發(fā)，因此性能就有很高的提升。

在新華等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專(zhuān)注、極致的服務(wù)理念，為客戶(hù)提供網(wǎng)站設(shè)計(jì)制作、網(wǎng)站建設(shè) 網(wǎng)站設(shè)計(jì)制作按需網(wǎng)站設(shè)計(jì),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站制作,營(yíng)銷(xiāo)型網(wǎng)站,外貿(mào)網(wǎng)站制作,新華網(wǎng)站建設(shè)費(fèi)用合理。

防火墻功能和許可證：
防火墻出廠(chǎng)的時(shí)候自帶有一些基本的功能，如果需要增加一些額外的功能，那么就需要購(gòu)買(mǎi)許可證（license）激活相應(yīng)的功能?？梢允褂胹how version命令查看目前防火墻擁有的功能列表：

防火墻的許可證類(lèi)型有：
Unrestricted（UR）--無(wú)限制的許可證使得該防火墻所能支持的所有特性全部打開(kāi)。如無(wú)限制的活動(dòng)連接數(shù)，打開(kāi)防火墻所支持的所有端口，可以使用防火墻的Failover（故障切換功能）等等。

Restricted（R）--限制版，限制防火墻開(kāi)啟的特性，比如限制活動(dòng)連接數(shù)，使防火墻不支持Failover，限制防火墻支持的最大接口數(shù)等；

Failover（FO）--該版本使得防火墻可以作為Secondary設(shè)備參與Failover（故障切換）；

Failover-active/active（FO-AA）--該版本使得防火墻可以作為secondary設(shè)備參與active/active Failover ,同時(shí)還要求另一個(gè)防火墻使用UR版。

Cisco ASA 安全算法

• ASA 處理TCP連接的安全算法

  1. 一個(gè)內(nèi)部主機(jī)的第一個(gè)IP數(shù)據(jù)包導(dǎo)致一個(gè)轉(zhuǎn)換槽的產(chǎn)生，這個(gè)信息會(huì)被保留在內(nèi)存中，用來(lái)檢查以后的數(shù)據(jù)包，做地址轉(zhuǎn)換，然后防火墻利用TCP內(nèi)的相關(guān)信息來(lái)建立一個(gè)連接槽
  2. 這個(gè)連接被標(biāo)記為"未完成"是一個(gè)TCP的半開(kāi)連接。
  3. 防火墻隨機(jī)產(chǎn)生一個(gè)用于連接的初始序列號(hào)，并且將數(shù)據(jù)包轉(zhuǎn)發(fā)到外連接口。
  4. 在這一步，防火墻期待從目的主機(jī)收到一個(gè)同步確認(rèn)包（syn/ack）,然后防火墻將收到的包的相關(guān)信息依照連接槽內(nèi)存儲(chǔ)的信息進(jìn)行匹配，計(jì)算信息的先后順序，并將返回的數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部主機(jī)。
  5. 內(nèi)部主機(jī)通過(guò)發(fā)送一個(gè)ACK完成了連接建立和3次握手。
  6. 防火墻上的連接槽被標(biāo)記為connected或者active-established。這時(shí)就可以發(fā)送數(shù)據(jù)了。連接的"未完成"計(jì)數(shù)器也將被重置。
     以上是防火墻處理TCP連接的安全算法。
• ASA處理UDP連接的安全算法
  1. 防火墻從內(nèi)部主機(jī)收到第一ip數(shù)據(jù)包，在檢驗(yàn)已經(jīng)配置好的轉(zhuǎn)換設(shè)置后，防火墻將會(huì)創(chuàng)建一個(gè)轉(zhuǎn)換槽，它將保存這個(gè)信息在內(nèi)存中用來(lái)檢查以后的數(shù)據(jù)包流。然后，防火墻利用UDP內(nèi)的相關(guān)信息建立一個(gè)UDP連接槽。
  2. 在用戶(hù)配置的UDP timeout時(shí)間內(nèi)，防火墻將會(huì)維護(hù)這個(gè)UDP連接槽。但是當(dāng)UDP連接槽的idle時(shí)間超出所配置的UDP timeout時(shí)間，就會(huì)從連接表中刪除。
  3. 在UDP的timeout周期內(nèi)，防火墻執(zhí)行適應(yīng)性安全算法（ASA）對(duì) 從目的主機(jī)收到的UDP數(shù)據(jù)包進(jìn)行全狀態(tài)檢查。
  4. 如果返回的UDP數(shù)據(jù)包完全匹配并且沒(méi)有超時(shí)，那么這個(gè)數(shù)據(jù)將被傳回內(nèi)部主機(jī)。
     最后要注意，ASA的所有安全策略都是應(yīng)用到狀態(tài)連接中，因此要首先生成一個(gè)連接表，然后才會(huì)比較安全策略等內(nèi)容。
     UDP的一些特性
  5. UDP是一個(gè)不可靠（無(wú)連接的），但卻很高效的傳輸協(xié)議，其不可靠體現(xiàn)在它不提供傳輸?shù)拇_認(rèn)。
  6. 偽造UDP數(shù)據(jù)包很容易，因?yàn)樗麤](méi)有握手和序列的機(jī)制。由于沒(méi)有狀態(tài)機(jī)制，所以傳輸?shù)陌l(fā)起者或者當(dāng)前的狀態(tài)經(jīng)常不確定。
  7. UDP不提供傳輸保障
  8. 沒(méi)有連接的建立和中止。
  9. UDP沒(méi)有擁塞管理和避免機(jī)制
  10. 使用UDP的服務(wù)通常被分為兩類(lèi)：
      ○ 請(qǐng)求-回應(yīng)，或稱(chēng)之為乒乓服務(wù)。例如域名服務(wù)（DNS）
      ○ 流服務(wù)，例如視頻，VOIP，網(wǎng)絡(luò)文件系統(tǒng)（NFS）

防火墻基礎(chǔ)配置

配置接口參數(shù)：

1. Security level 對(duì)asa/pix來(lái)講，每個(gè)接口都必須有一個(gè)安全級(jí)別，安全級(jí)別是0到100之間的數(shù)字，0代表低安全級(jí)別，100代表高安全級(jí)別；
2. 默認(rèn)情況下，所有從高安全級(jí)別接口到低安全級(jí)別接口的流量都是允許的，所有從低安全級(jí)別接口到高安全級(jí)別接口的流量都是被拒絕的，都需要使用ACL來(lái)允許想要允許的流量；當(dāng)然，高安全級(jí)別接口到低安全級(jí)別接口的流量也可以通過(guò)ACL來(lái)控制。
3. 默認(rèn)情況下，相同安全級(jí)別接口之間不允許通信，可以使用命令
   Hostname(config)#same-security-traffic permit inter-interface來(lái)允許相同安全級(jí)別接口之間互相通信
   對(duì)于防火墻的任何接口，都必須配置以下內(nèi)容：
   • Name
   • Ip address
   • Security level

   • 多區(qū)域默認(rèn)的訪(fǎng)問(wèn)規(guī)則:
     Inside可以訪(fǎng)問(wèn)outside。
     Inside可以訪(fǎng)問(wèn)dmz
     Dmz可以訪(fǎng)問(wèn)outside
     Dmz不能訪(fǎng)問(wèn)inside
     Outside不能訪(fǎng)問(wèn)inside
     Outside不能訪(fǎng)問(wèn)dmz.

配置靜態(tài)路由
在防火墻模式下，ASA支持靜態(tài)和默認(rèn)路由，ASA只支持RIP和OSPF，因此如果你的網(wǎng)絡(luò)運(yùn)行的是其他的路由協(xié)議，那么就要使用靜態(tài)路由，使用靜態(tài)路由可以節(jié)省CPU的負(fù)載。ASA在相同的接口，最多支持3條等價(jià)靜態(tài)路由。
Hostname(config)#route 接口名稱(chēng) 目標(biāo)網(wǎng)段 掩碼 下一跳地址

配置ACL
一個(gè)ACL是由多個(gè)訪(fǎng)問(wèn)控制條目（Access Control Entries,ACE）組成，一個(gè)ACE指明一個(gè)permit或deny規(guī)則，一個(gè)ACE可以根據(jù)協(xié)議，指定的源地址和目的地址、端口號(hào)、ICMP類(lèi)型等來(lái)定義，ACE的執(zhí)行是按照順序執(zhí)行的，一旦發(fā)現(xiàn)匹配的ACE,那么就不會(huì)再繼續(xù)往下匹配。
對(duì)于TCP和UDP連接，不需要使用ACL來(lái)允許返回的流量進(jìn)入，因?yàn)榉阑饓Φ陌踩惴〞?huì)生成一個(gè)連接表來(lái)允許這些流量的返回；對(duì)于無(wú)連接流量，比如ICMP，需要使用ACL來(lái)明確允許返回的流量進(jìn)入防火墻，或者可以打開(kāi)ICMP審查引擎。