22.04.15[理論]04.14要約

に質問ファイアウォール(3層目、4層目)、FTP(NGFW)3層目、4層目、7層目)を構成するキーテクノロジーについて説明する。

制御

Trafficeにより特定ネットワークを保護する機能

ASAは、セキュリティレベルの高い乗り物から低い乗り物への接続テーブルを作成し、リカバリされたトラフィックを自動的に許可する

.

の反対のTrafficeについては、明確に許可する必要があります.(ACL使用)

ダイナミックアプリケーションを識別し、自動オープン機能を提供

は、NAT、PAT、VPNなどの機能も提供する.

問題2。ファイアウォールで作成したTableタイプを確認してください。

 >> Session Table   (inspect에 의한)                          #show conn  |  #show conn long  | #show conn | in 1.1
 >> NAT Table       (NAT/PAT가 적용되어 있는 경우)    #show xlate 
 >> Routing Table  (L3로 동작하는 경우)                    #show route  | #show route | in 10.1.1.0
 >> MAC Table      (L2로 동작하는 경우)                    #show mac-address-table
  

に質問FirewallはL 3デバイスですか?2階の設備ですか?

L 3(Routeモード)>>既存の常用

レベル2(Transparentモード)>>構成の変更は不要(単純)(ただし制限あり)

L 2を用いた機能をASAでTransparentと呼ぶ.

構成

L 2、応用しやすい(既存のネットワークを変更しない)

セグメントL 2を使用すると、制限があります
(Inside、Outsideのみ使用可能)
(動的ルーティングプロトコルはサポートされていません)
(NAT、PATを使用する場合はSTATICルーティングが必要)

に質問ファイアウォールで使用されるinpsect(記録エンジン)とsecurityレベルの動作は何ですか?

Inspectレコードパケット情報-->セッションテーブル(#show conn)
TCP -->> Source, Destination IP, Source, Destiation Port, TCP Flag (SYN, ACK, FIN, RST)
UDP -->> Source, Destination IP, Source, Destiation Port, >> timeout
(セキュリティレベルが高い場合のみ作成)

に質問ASA使用のプリファレンス

1.インタフェースのIP、Name、セキュリティレベル>>3種類の設定

interface g0/0
ip add 1.1.1.254 255.255.255.0
nameif inside
security-level 100
#show interface ip brief
#show nameif

2.ルーティングプロトコル（ASAを第3層として使用する場合）

router ospf 1
network 1.1.1.0 255.255.255.0 area 0
#show ospf neighbor (#show ip ospf neighbor)
#show route (#show ip route)

3.ファイアウォールポリシー

セキュリティレベルの高い通信から低い通信>>Default(セッションテーブル)の使用を許可する

セキュリティレベル低～高通信>>Default
(許可されている場合はACLを適用する必要があります.)

access-list 100 permit tcp any any eq 23
access-group 100 in interface outside
#show access-list
#show run | in access-group
しかし、例外は!!>>ICMPはセキュリティレベルには適用されません(ICMPの場合はinspectを適用する必要があります)