<>强防火墙技术分类
防火墙技术分为三种:包过滤防火墙,代理防火墙,状态包过滤
1,包过滤防火墙:使用ACL控制进入或离开的网络流量,ACL可以匹配包的类型或其他参数(如源IP地址,目的IP地址,端口号等)来制定。该类防火墙有以下不足:
?ACL制定和维护都比较困难
?可以使用IP欺骗很容易绕过ACL
2代理防火墙:也叫做代理服务器。他在OSI的高层检查数据包,然后和制定的规则相比较,如果数据包的内容符合规则并且被允许,那么代理服务器就代替源主机向目的地址发送请求,从外部主机收到请求后,在转发给被保护的源请求主机。代理防火墙的缺点就是性能问题,由于代理防火墙会对每个经过它的包都会做深度检查,即使这个包以前检查过,所以对系统和网络的性能都有很大的影响。
3,状态包过滤防火墙:思科ASA就是使用的状态包过滤防火墙,该防火墙会维护每个会话的状态信息,这些状态信息写在状态表里,状态表的条目有源地址,目的地址,端口号,TCP序列号信息以及每个TCP或udp的其他的标签信息。所有进入或外出的流量都会和状态表中的连接状态进行比较,只有状态表中的条目匹配的时候才允许流量通过。防火墙收到一个流量后,首先查看是否已经存在于连接表中,如果没有存在,则看这个连接是否符合安全策略,如果符合,则处理后将该连接写入状态表,如果不符合安全策略,那么就将包丢弃。状态表也叫快速路径,防火墙只处理第一个包,后续的属于该连接的包都会直接按照快速路径转发,因此性能就有很高的提升。
<>强防火墙功能和许可证:
防火墙出厂的时候自带有一些基本的功能,如果需要增加一些额外的功能,那么就需要购买许可证(许可证)激活相应的功能,可以使用显示版本命令查看目前防火墙拥有的功能列表:
防火墙的许可证类型有:
无限制(UR)——无限制的许可证使得该防火墙所能支持的所有特性全部打开。如无限制的活动连接数,打开防火墙所支持的所有端口,可以使用防火墙的故障转移(故障切换功能)等等。
限制(R) -限制版,限制防火墙开启的特性,比如限制活动连接数,使防火墙不支持故障转移,限制防火墙支持的最大接口数等;
故障转移(FO)——该版本使得防火墙可以作为二次设备参与故障转移(故障切换);
Failover-active/活动(FO-AA)——该版本使得防火墙可以作为二次设备参与主动/主动故障转移,同时还要求另一个防火墙使用你的版。
<强>思科ASA安全算法
-
<李>
ASA处理TCP连接的安全算法
-
<李>一个内部主机的第一个IP数据包导致一个转换槽的产生,这个信息会被保留在内存中,用来检查以后的数据包,做地址转换,然后防火墙利用TCP内的相关信息来建立一个连接槽李
<李>这个连接被标记为“未完成“是一个TCP的半开连接。
<李>防火墙随机产生一个用于连接的初始序列号,并且将数据包转发到外连接口。
<李>在这一步,防火墙期待从目的主机收到一个同步确认包(syn/ack),然后防火墙将收到的包的相关信息依照连接槽内存储的信息进行匹配,计算信息的先后顺序,并将返回的数据包转发到内部主机。
<李>内部主机通过发送一个ACK完成了连接建立和3次握的手。
<李>防火墙上的连接槽被标记为连接或者active-established。这时就可以发送数据了。连接的“未完成“计数器也将被重置。
以上是防火墙处理TCP连接的安全算法。
-
<李>防火墙从内部主机收到第一ip数据包,在检验已经配置好的转换设置后,防火墙将会创建一个转换槽,它将保存这个信息在内存中用来检查以后的数据包流。然后,防火墙利用UDP内的相关信息建立一个UDP连接槽。
<李>在用户配置的UDP超时时间内,防火墙将会维护这个UDP连接槽。但是当UDP连接槽的空闲时间超出所配置的UDP超时时间,就会从连接表中删除。
<李>在UDP的超时周期内,防火墙执行适应性安全算法(ASA)对从目的主机收到的UDP数据包进行全状态检查。
<李>如果返回的UDP数据包完全匹配并且没有超时,那么这个数据将被传回内部主机。
最后要注意,ASA的所有安全策略都是应用到状态连接中,因此要首先生成一个连接表,然后才会比较安全策略等内容。
UDP的一些特性李
