« Back
in 安全 思科 read.

防火墙基础(3)

SN号:

OS有关

设备启动时间

成功传输bit位  

防火墙在检查的时候,只对一个包做监控(初始化监控,后续连接不监控)。序列号扰乱只对第一个数据包做序列号扰乱,初始化序列号扰乱。

 

IOS防火墙

12.3的时候,是动态的生成、删除ACL。

12.4以后,使用状态化表项,和PIX防火墙更像。

 

防火墙开启了application-aware inspection,就可以监控应用层协议动态协商的端口,对协商的端口进行放行。  

ASA和PIX最大的区别就是ASA可以做webvpn,可以插IPS模块或防病毒模块

 

命令:

same-security-traffic permit

inter-interface 表示两个安全级别相同的接口之间的流量可以互相穿越。

intra-interface 默认情况,防火墙上的接口不能又进又出,只能从这个接口到那个接口。除非使用这个命令。

 

静态路由:route <nameif> <IP网段><mask> <下一跳>

 

show run interface 查看接口的配置

show interface 查看接口的状态

show memory

show cpu usage

show ip add

show nameif

 

接口上只有配置了nameif才能转发流量,没有nameif不转发流量

 

RFC考点:

RFC 1918规定网段 及作用

RFC 2827 Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing

RFC 3330 私有地址网段收集

RFC 3704 防范DDOS