防火墙的核心思想:阻断，拦截网络，对需要的网络进行放行

硬件与软件防火墙软件防火墙 IOS硬件防火墙 PIX（思科的，老的） ASA（PIX的升级版） 防火墙模块

ASA安全设备（也叫ASA防火墙）

ASA5500系列具备功能：1防火墙技术（cisco PIX）2IPS技术(cisco IPS）3NW-AV（cisco IPS,AV)4×××（cisco ××× 3000）5网络智能（思科网络服务）6应用检测，使用实施，WEB控制（应用安全）7而已软件，内容防御，异常流量检测（Anti-X防御）8流量，准入控制，主动相应(网络抑制和控制）9安全连接（IPSec & SSL ×××)

防火墙的接口名称

1物理名称 G0/0/1 2逻辑名称 用来描述安全区域 例如inside outside

接口安全级别

范围：0-100 数字越大安全级别高，反之越小inside（内网） 安全级别100outside（外网） 安全级别0

inside---------防火墙---------outside

不同安全级别的接口之间访问时，遵从的默认规则

1允许出站（outbound）连接2禁止入站（inbound）连接3禁止相同安全级别的接口之间通信（两边的安全级别都为50等等）

高安全级别---->低安全级别（是可以访问的）

低安全级别---->高安全级别（是不可以访问的）

例如：公司1楼的保安（防火墙机制），公司内部人员可以通过员工识别卡来进出，但是陌生人则会被阻拦

模拟器全局模式密码：tedu.cn

asa842# conf terminal asa842(config)# clear config all（清楚之前所有配置）ciscoasa(config)# int g0（进入g0接口）ciscoasa(config-if)# nameif inside（为该接口命名）ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0ciscoasa(config-if)# security-level 100（设定安全级别）范围0-100ciscoasa(config-if)#

状态化防火墙维护一个关于用户信息的连接表，称为Conn表

Conn表中的关键信息：源IP地址目的IP地址IP协议（TCP/UDP)IP协议信息（TCP/UDP的端口号，TCP序列号）默认情况下，ASA对TCP和UDP协议提供状态化连接（默认情况下。ICMP是非状态化的，因此它不能存在于Conn表中）Conn表（表内信息有5项，称为五元组）内部IP地址 IP协议 内部端口 外部IP地址 外部端口

查看防火墙对应接口的nameif名称及相应安全级别

ciscoasa(config)# show nameif查看防火墙所有接口对应的IP地址及其相关信息ciscoasa(config)# show ip address查看ACL访问控制条目对应的详细信息ciscoasa(config)# show access-list 查看CONN表ciscoasa(config)# show conn detail清楚某类功能的命令（例如access

用于低安全级别去访问高安全级别时所需要配置的命令：

ciscoasa(config)#access-list out-to-in permit ip host 192.168.8.1（源IP）host 192.168.1.100（目的IP）ciscoasa(config)#access-group out-to-in in int outside（为name为outside的接口调用这条ACL）若为某个网段的话ciscoasa(config)#access-list out-to-in permit ip 192.168.8.0（源IP网段）255.255.255.0（子网掩码） host 192.168.1.100（目的IP）

查看access条目命令：

ciscoasa(config)# show running-config access-list 查看access条目命令在哪个接口调用命令ciscoasa(config)# show running-config access-group 显示结果：access-group out-to-in in interface outside

默认情况下，防火墙是不允许ICMP报文穿越ASA的。如果需要ICMP协议（PING）去测试互通，必须为其添加允许ICMP报文穿越ASA。

ciscoasa(config)# access-list ICMP permit icmp any any（ICMP为自定义名称，icmp为指定协议。二者不是一个概念）应用access-group ICMP global （实现全网可以通过PING去测试。即全网互通。global是全局的意思，可以理解为全网互通）

防火墙配置静态路由

ciscoasa(config)# route inside（指定接口逻辑名称） 10.1.1.1（目标IP地址） 255.255.255.0 192.168.1.1（下一跳地址）

防火墙查看路由表功能

ciscoasa(config)# show route

DMZ区域的概念和作用

DMZ（DeMilitarized Zone)称为隔离区。也称为非军事化区位于企业内部网络和外部网络之间的一个网络区域它的安全级别介于insid与outsid之间它有6条默认访问规则（其中3条可以，3条不可以）