22.04.15[理論]04.14要約



に質問ファイアウォール(3層目、4層目)、FTP(NGFW)3層目、4層目、7層目)を構成するキーテクノロジーについて説明する。


制御
  • Trafficeにより特定ネットワークを保護する機能
  • ASAは、セキュリティレベルの高い乗り物から低い乗り物への接続テーブルを作成し、リカバリされたトラフィックを自動的に許可する
  • .
  • の反対のTrafficeについては、明確に許可する必要があります.(ACL使用)
  • ダイナミックアプリケーションを識別し、自動オープン機能を提供
  • は、NAT、PAT、VPNなどの機能も提供する.
  • 問題2。ファイアウォールで作成したTableタイプを確認してください。

     >> Session Table   (inspect에 의한)                          #show conn  |  #show conn long  | #show conn | in 1.1
     >> NAT Table       (NAT/PAT가 적용되어 있는 경우)    #show xlate 
     >> Routing Table  (L3로 동작하는 경우)                    #show route  | #show route | in 10.1.1.0
     >> MAC Table      (L2로 동작하는 경우)                    #show mac-address-table
      

    に質問FirewallはL 3デバイスですか?2階の設備ですか?

  • L 3(Routeモード)>>既存の常用
  • レベル2(Transparentモード)>>構成の変更は不要(単純)(ただし制限あり)
  • L 2を用いた機能をASAでTransparentと呼ぶ.
  • 構成
  • L 2、応用しやすい(既存のネットワークを変更しない)
  • セグメントL 2を使用すると、制限があります
    (Inside、Outsideのみ使用可能)
    (動的ルーティングプロトコルはサポートされていません)
    (NAT、PATを使用する場合はSTATICルーティングが必要)
  • に質問ファイアウォールで使用されるinpsect(記録エンジン)とsecurityレベルの動作は何ですか?


    Inspectレコードパケット情報-->セッションテーブル(#show conn)
    TCP -->> Source, Destination IP, Source, Destiation Port, TCP Flag (SYN, ACK, FIN, RST)
    UDP -->> Source, Destination IP, Source, Destiation Port, >> timeout
    (セキュリティレベルが高い場合のみ作成)

    に質問ASA使用のプリファレンス


    1.インタフェースのIP、Name、セキュリティレベル>>3種類の設定


    interface g0/0
    ip add 1.1.1.254 255.255.255.0
    nameif inside
    security-level 100
    #show interface ip brief
    #show nameif

    2.ルーティングプロトコル(ASAを第3層として使用する場合)


    router ospf 1
    network 1.1.1.0 255.255.255.0 area 0
    #show ospf neighbor (#show ip ospf neighbor)
    #show route (#show ip route)

    3.ファイアウォールポリシー

  • セキュリティレベルの高い通信から低い通信>>Default(セッションテーブル)の使用を許可する
  • セキュリティレベル低~高通信>>Default
    (許可されている場合はACLを適用する必要があります.)
  • access-list 100 permit tcp any any eq 23
    access-group 100 in interface outside
    #show access-list
    #show run | in access-group
    しかし、例外は!!>>ICMPはセキュリティレベルには適用されません(ICMPの場合はinspectを適用する必要があります)