1.ASA安全等级
默认情况下,Cisco PIX防火墙将安全等级应用到每一个接口。越安全的网络段,全级别越高。安全等级的范围从0~100,默认情况下,安全等级0适应于e0,并且它的默认名字是外部(outside),安全等级100适应于e1.并且它的默认名字是inside.使用name if 可以配置附加的任何接口,安全等级在1~99之间
e.g:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
1.1自适应安全算法(ASA)允许流量从高安全等级段流向低安全等级段,不需要在安全策略中使用特定规则来允许这些连接,而只要用一个nat/global命令配置这些接口就行了。
1.2同时如果你想要低安全等级段流向一个高安全等级段的流量必须经过安全策略(如acl或者conduit).
1.3如果你把两个接口的安全等级设置为一样,那流量不能流经这些接口。请记得ASA是cisco pix防火墙上状态连接控制的关键。
2.传输协议
2.1首先请理解一下OSI的7层模型,说实话,如果你要做IT,那么这个OSI的7层模型一定要搞懂,也就像windows 的DNS一样,一定要花工夫在上面。其中1~7是从物理层向上数的,物理层为第一层,应用层为第七层。
应用层 数据
表示层 数据
会话层 数据
传输层 Segment
网络层 Packet
数据链路层 Frame
物理层 Bit
2.2了解一下TCP/IP
通俗的讲TCP/IP包含两个传输协议TCP,UDP,当然还包括其他,TCP/IP是一个协议族,是对OSI理论的一个实现,是真正应用到网络中的一个工业协议族。
TCP-它是一个基于连接的传输协议,负责节点间通信的可靠性和效率,通过创建virtual circuits的连接来源端和目的端担当双向通信来完成这些任务,由于开销很大,所以传输速度变慢。UDP-它是一个非连接的传输协议,用于向目的端发送数据。
理解没有PIX的节点间的TCP通信(三次握手)
理解有一个PIX的节点间TCP通信
2.3注意默认的安全策略允许UDP分组从一个高安全等级段送到一个低安全等级段。
cisco pix 防火墙用下列的方法来处理UDP流量:
2.3.1源及其开始UDP连接,Cisco pix防火墙接收这个连接,并将它路由到目的端。Pix应用默认规则和任何需要的转换,在状态表中创建一个会话对象,并允许连接通过外部接口。
2.3.2任何返回流量要与绘画对象匹配,并且应用会话超时,默认的会话超时是2分钟.如果响应不匹配会话对象,或者超时,分组就会被丢弃,如果一切匹配,就会允许响应信号传送到发送请求的源端