ios防火墙.doc

分层设备结构
Cisco ios防火墙利用DMZ将对外服务于内部网络相隔离,通过创建缓冲区,这些DMZ创建的网络即不是完全的企业内部的网络也不是完全的企业外部的网络,这样的情况下,MDZ位于企业网和互联网之间。
对DMZ的访问受专用防火墙或具有多个接口的路由器控制,DMZ上的专用服务器可以提供网页 FTP 电子邮件服务。DMZ也可以为那些需要出站连接的应用提供网关服务。
DMZ的主要好处在于任何一台DMZ服务器的安全缺口都不会危机到内部网络的安全性,利用DMZ,管理员可以将服务划分到专用服务器上,再将服务器放在DMZ内。
将一个网络配置为使用多个DMZ认为是一个非常好的安全体系架构,于一个DMZ区域相比,将每个服务器放在多个DMZ区域有更多优势。
防火墙技术基础
防火墙使用包过滤,ALG 和状态化包过滤等3中技术
包过滤技术是防火墙使用最简单的技术,有状态于无状态的区别在于过滤器是否跟踪并响应所给定的协议请求的内容,该技术通过ACL来限制数据包穿透防火墙,ACL通过IP地址或指定的访问控制列表的规则来过滤数据包,它并不维护连接当前状态数据库。
ALG
ALG利用一台服务器提供代理服务,外部用户首先连接到ALG,ALG再连接到内网服务器并在内部服务器与用户之间传递服务请求,该方法对HTTP HTTPS FTP 和电子邮件服务器很有效,并且是很好的解决方案。用户连接的是DMZ服务器,无法连接到真正的内部服务器。
状态化包过滤
状态化包过滤技术是一种改良的包过滤技术,可以提供额外的安全保护等级。状态化的包过滤技术主要的优势是在于防火墙可以感知连接的状态。
除非建立TCP连接的请求来自同一个源且来自服务器的响应允许处理该连接,否则状态过滤就可以禁止TCP ACK包通过的,由于防火墙记住所有的连接状态并检查每个数据包,因而能将非期望的数据包过滤掉。
状态包过滤以不同的方式处理每种协议
通告TCP序列号来确定数据包按序到达,但是由于UDP无序列号。因此无法使用该方法。
CISCO IOS防火墙功能特征集
Cisco IOS防火墙
认证代理
IPS(入侵防范系统)
Cisco ios防火墙
它是一个状态包过滤防火墙,特征如下:
允许或拒绝特定的TCP或UDP流量
维护状态表
动态修改表
防范DOS攻击
检查通过接口的数据包
认证代理
认证代理通告RADIUS(远程认证拨人用户服务)或TACACS+(终端接入控制器接入控制系统)按用户为以下协议提供认证或授权的功能
HTTP HTTPS FTP
CISCO IOS ips
Cisco IPS 是一种入侵监测和响应系统,可以识别和响应700以上的攻击行为,识别攻击行为之后可以发起一种或多种响应操作
Cisco ios防火墙可以在数据穿越接口时候动态修改ACL,防火墙可以在感知的允许的流量并在已有的ACL上增加新的命令行,同时还可以通告SYSLOG来配置适时的审计跟踪并按照每种协议发出告警消息
使用CLI配置CISCO ios防火墙
使用CLI实施检查规则需要5个步骤:
选择需要检查的接口和数据包的方向
为该接口配置IP ACL
定义检查规则
为该接口应用检查规则和ACL
验证配置
在发起非受信流量的接口上
----在该接口的入站方向应用A