防火墙概述和产品线
网络防火墙是什么?
网络防火墙是一个链接两个或多个网络区域,并且给予策略限制区域间流量的设备。
百度百科的基本定义:所谓”防火墙” 是指一种将内部网和公众访问网(如Internet)分开的方法,他实际上是一种,建立在现代通信技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互连环境之中。
网络防火墙的类型1、包过滤型(Packet Filter):包过滤通常安装在路bai由器上,并且大多数商用路由器都提供了包过滤的功能。另外,PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIPTunnel)、端口号等进行筛选。 2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(ProxyServer)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。
Packet filtering介绍Packet filtering (包过滤)是一种比较老的防火墙技术,也就是我们使用的访问控制列表(ACL)
Proxy Server 介绍软件防火墙的主流技术,经常为web流量使用代理服务器。
Proxy Server 特点:
两个TCP会话性能低下支持的运用少工作在OSI模型的高层,最安全的防火墙Web Cache
Stateful Packet filtering介绍硬件防火墙的主流技术,为穿越的TCP和UDP流维护状态化表项。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WmVIpG7F-70)(]
Stateful Packet filtering特点为每一个TCP和UDP流维护stateful session flow table(状态化表项)。返回数据包首先查询状态化表项,如果是以前连接的一部分,就算被ACL拒绝也可以穿越防火墙。状态化表项维护:源目IP ,TCP源目端口,序列号,Flag位。高性能,硬件防火墙的主流技术
什么是DMZ?Demilitarized Zone(非军事化区域)。主要用于连接对外提供服务的服务器和VPN设备如果没有DMZ?
两种DMZ连接方式
Cisco ASA特性介绍
状态监控包过滤Cut-through(穿越认证)运用层过滤MPF(Modular Policy Framework)IPSec VPN、SSL VPNIPS ----入侵防御系统AIP-SSMCSC-SSM多模式防火墙----虚拟防火墙透明防火墙 ----理解为二层防火墙Failover(FO)-----类似与HSRP图形化界面管理
Cisco ASA产品线-ASA 5505
两种授权方式:Base Model和Security Plus Model最大吞吐量:150Mb/s最大连接数:10,000 (25,000 Security Plus)每秒最大连接数:4,0003Des/AES最大吞吐量:100Mb/s最大的VPN会话数:10(25 Security Plus)最大的SSL VPN会话数:默认2个,可升级到25个
Cisco ASA产品线-ASA 5510[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JHNMc3RH-74)(]两种授权方式:Base Model和Security Plus Model高度:1U(约等于4.45cm)最大吞吐量:300Mb/s最大连接数:50,000 (130,000 Security Plus)3Des/AES最大吞吐量:170Mb/s最大的VPN会话数:250最大的SSL VPN会话数:默认2个,可升级到10,25,50,100 or 250虚拟防火墙授权:0/0(base); 2/5(Security Plus)VLAN数量:50 (100 Security Plus)高可用性(Failover):基本版本不支持 (Security Plus A/A A/S)接口数:5 Fast Ethernet ports(1个百兆管理口,4个百兆业务接口)
Cisco ASA产品线-ASA 5520[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PTpTEDsb-74)(]高度:1U(约等于4.45cm)最大吞吐量:450Mb/s最大连接数:280,0003Des/AES最大吞吐量:225Mb/s最大的VPN会话数:750最大的SSL VPN会话数:默认2个,可升级到10,25,50,100,250,500 or 750虚拟防火墙授权:默认2,可升级到20VLAN数量:150高可用性(Failover):A/S 和 A/A可扩展性 :VPN集群和负载均衡接口数:1个百兆管理口,4个千兆业务接口
Cisco ASA产品线-ASA 5540
高度:1U(约等于4.45cm)最大吞吐量:650Mb/s最大连接数:400,0003Des/AES最大吞吐量:325Mb/s最大的VPN会话数:5000最大的SSL VPN会话数:默认2个(10,25,50,100,250,500,750,1000or 2500)虚拟防火墙授权:默认2,可升级到50VLAN数量:200高可用性(Failover):A/S 和 A/A可扩展性 :VPN集群和负载均衡接口数:1个百兆管理口,4个千兆业务接口
Cisco ASA产品线-ASA 5580
高度:3U最大吞吐量:5Gb/s(5580-40 10Gb/s)最大连接数:1,000,000( 5580-402,000,000 )每秒最大连接数:90,000( 5580-40150,000 )3Des/AES最大吞吐量:1Gb/s最大的VPN会话数:10,000最大的SSL VPN会话数:默认2个,可升级到10,000虚拟防火墙授权:默认2,可升级到50VLAN数量:100高可用性(Failover):A/S 和 A/A可扩展性 :VPN集群和负载均衡接口数:2个接口
PIX 与ASA区别
SSL VPN:PIX不支持SSL VPN,ASA支持SSL VPNSSM(安全服务模块):PIX不支持,ASA支持VPN集群和负载均衡:PIX不支持,ASA支持CF卡(闪存卡)的支持:PIX不支持,ASA支持AUX接口:PIX没有AUX接口,ASA有AUX接口
PIX授权R版本(限制版本)UR版本(非限制版本)Active/StandbyFailoverActive/Active Failover限制版本与非限制版本的区别在于:1、接口:限制版本最多支持3个接口2、内存:限制版本最大支持64M内存3、FO(Failover):限制版本不支持Failover
VPN加密授权DES licenseProvides 56-bit DES3DES/AES licenseProvides 168-bit 3DESProvides up to 256-bit AES