• 软件防火墙和硬件防火墙
  1）软件防火墙
  系统防火墙，TMG防火墙，IP tables防火墙，处理数据速度慢，稳定性差
  2）硬件防火墙
  ASA，深信服，华为都属于硬件防火墙，稳定性强，处理数据速度快
• ASA5500系列的安全设备
  ASA 5505小型企业使用，ASA 5510中型企业使用，ASA 5520中型企业使用，具有模块化， ASA 5540大中型企业使用， ASA 5550大型企业和服务提供商使用， ASA 5580用于大型企业，数据中心，运营商使用
• 防火墙功能分类
  1）应用防火墙
  代理使用
  2）网络防火墙
  识别网络传输的数据包
  3）状态化防火墙
  硬件防火墙都属于状态化防火墙，自动识别传输的数据包
• 状态化防火墙的原理
  
  
  
  
  1）状态化防火墙的conn表包含的信息
  源IP或者网络
  目标IP或者网络
  协议 端口号
  2）icmp的特点
  icmp协议不属于状态化防火墙
  默认不能穿越防火墙通信
  3）conn表的特点
  conn表支持的协议可以转发
  不支持不能被防火墙转发
• ASA安全算法原理
  
  1)查询ACL
  访问控制列表是否允许
  2)查询conn表
  检查conn表是否允许
  3）操作引擎
  引擎不需要管理员配置
  引擎能够识别传输的数据包‘
  不识别无法执行操作指令
• 简单配置ASA
  1.配置主机名
  ciscoasa#config t
  ciscoasa#hostname ASA
  ASA(config)#
  2.配置密码
  1）配置特权密码
  ASA(config)#enable password pwd@123
  2）配置远程登录密码
  ASA(config)#password pwd@123
• 接口的概念与配置
  1）物理接口
  协商工作模式，协商通信速率
  2）逻辑接口
  配置命令
  3）常见的逻辑接口
  inside 内部接口，优先级默认100
  outside 外部接口，优先级默认为0
  dmz 非军事化区，保存对外提供服务的服务器，安全级别在inside和outside之间，优先级低于inside，高于outside
  4）不同优先级遵循的规则
  低不能访问高，低安全级别不能访问高安全级别
  高可以访问低，高安全级别可以访问低
  相同安全级别不能访问，端口优先级相同不能访问
  低访问高，需要配置访问控制列表
• 简单配置接口
  ASA(config)#int et 0/0， 进入物理接口
  ASA(config-if)#nameif inside ，配置逻辑名称inside

ASA#show interface ip brief ，查看接口信息
ASA#show conn detail ，查看conn表

• 配置静态和默认
  ASA（config）#route inside 192.168.10.0 255.255.255.0 192.168.20.1 配置静态
  ASA（config）#route outside 0.0.0.0 0.0.0.0 192.168.30.1 配置默认，默认只能有一条
  ASA#show route 查看路由表
  ASA（config）#fixup protocol icmp 添加状态化连接
• 配置ACL（访问控制列表）
  ASA（config）#access-list out-to-in permit tcp 192.168.40.0 255.255.255.0 host 192.168.20.1 eq 23 允许主机访问telnet
  ASA（config）#int et 0/1 进入接口
  ASA（config）#access-group out-to-in in interface outside ACL应用在outside接口为进方向
• ASA远程管理的方式
  1）telnet
  内部管理使用，没有被加密，Cisco设备直接支持，安全性差
  2）ssh
  安全性强，适合广域网管理，传输数据加密，需要配置AAA认证
  3）ASDM
  Cisco提供的图形化配置设备使用，使用的是HTTPS协议加密
• 简单配置telnet远程管理
  1）配置允许192.168.10.0网络通过inside远程管理设备
  ASA（config）#telnet 192.168.10.0 255.255.255.0 inside
  2）允许任意网络通过inside访问
  ASA（config）#telnet 0 0 inside
  3）telnet保持时间5分钟
  ASA（config）#telnet timeout 5
• 简单配置SSH远程管理
  1）创建域名
  ASA（config）#domain-name benet.com
  2）使用加密算法rsa长度为1024
  ASA（config）#crypto key generate rsa modulus 1024
  3)允许192.168.20.0通过outside接口ssh远程管理
  ASA（config）#ssh 192.168.20.0 255.255.255.0 outside
  4）修改版本
  ASA（config）#ssh version 2
  5）创建ssh账户和密码
  ASA（config）#username cisco password pwd@123 privilege 15
  6)开启AAA验证
  ASA（config）#aaa authentication ssh console LOCAL
  7)配置ssh保持时间
  ASA（config）#ssh timeout 10
• 配置ASDM图形化工具管理
  1）开启http功能
  ASA（config）#http server enable
  2）指定asdm客户端位置
  ASA（config）#asdm image disk0:/asdm - 649.bin
  3）允许外网使用asdm管理
  ASA（config）#http 192.168.20.0 255.255.255.0 outside
  4)创建asdm账户和密码
  ASA（config）#username cisco password pwd@123 privilege 15