建立连接
命令行界面CLI
图形化界面ASDM接口优先级
从高安全级别接口到低安全级别接口的流量叫Outbound,默认允许
从低安全级别接口到高安全级别接口的流量叫inbound,默认不允许,可以通过ACL放行
相同安全级别接口之间的流量默认是不允许,可以使用命令打开(same-security-traffic permit inter-interface)
安全级别的范围为0-100
默认inside安全级别为100,其余接口默认为0
维护防火墙
配置文件
running-config
运行时加载的配置文件,show running-config
start-config
开机时加载的配置文件, show starup-config
常用维护命令
保存write
清空全部配置(慎用)clear configure all
清空指定配置(慎用)clear configure interfaceg0/0
清空启动配置(慎用)write erase备份与恢复
back #后面回车+回车
show flash: #查看备份文件
restore location flash://TAB或?补全名称控制列表
路由器控制逻辑
总结访问控制列表特性
- 控制穿越流量
- 控制抵达路由器自身的流量
- 控制返回流量
- 无法控制自身发起的流量
防火墙控制逻辑
总结访问控制列表特性
- 控制穿越流量
- 无法控制抵达防火墙流量
- 无法控制返回流量
- 无法控制自身发起的流量
状态化访问规则:针对所有执行状态化处理的协议和应用,ASA接口访问规则只需要放行这个应用的初始化包
接口访问控制方向_1
访问控制可以应用在接口的Input、output
input控制源自于规则所在接口的主机连接
output控制去往规则所在接口的主机连接
要放行一个网络运用穿越ASA,在初始化的方向上,所有规则集都应该方向
接口访问控制方向_2
一般部署的时候在所有的接口仅仅运用Input规则
所有接口仅做input即可,只有这样的部署确保所有运用只穿越接口访问规则一次
特殊情况,output更容易运用
状态检测防火墙的转发
“状态检测”机制以流量为单位来对报文进行检测和转发。即对一条流量的第一个报文进行包过滤规则检查,并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发(或进行内容安全检测)还是丢弃。这个“状态”就是会话表项
状态化工作流程图
