思科防火墙技术汇总

CiscoIOS思科路由器交换机防火墙命令解析你知道CiscoIOS思科路由器交换机防火墙是怎么解析的吗，他的命令解析如阿呢?下面是店铺跟大家分享的是CiscoIOS思科路由器交换机防火墙命令解析，欢迎大家来阅读学习。

CiscoIOS思科路由器交换机防火墙命令解析路由交换机防火墙路由器路由协议主命令和子命令示例route>enable 进入route>disable 退出show running-config 当前工作信息show ip routeshow versionroute(config)#enable password 123456router(config)#hostname bingheroute (config-if)# no shutdown 启动全局命令Route#config terminal 全局配置模式Router(config)#config f0/0进入配置接口Router(config)#interface fastethernet0/0 配置主命令Route(config-if) ip address 10.0.0.1 255.255.255.0Route(config-if)#exit返回配置模式Route (config) # exit返回特权模式Route#保存配置RA#copy running-config start-config 保存配置RA#copy startup-config config-start 恢复配置允许telnetR2(config)#line vty 0 ? 查看有多少telnet接口R2(config-line)#line vty 0 700R2(config-line)#no login telnet 不允许密码启用域名解析R2(config)#ip domain-lookupR2(config)#ip name-server 8.8.8.8思科路由配置模式简介用户模式 Router>特权模式 Router#全局配置模式Router(config)#接口配置模式 Router(config-if)#自接口配置模式Router(config-subif)#Line模式 Router (config-Line)#路由模式Router(config-router)#路由模式切换从用户模式到特权模式 Router>enable从特权模式返回用户模式Router#disable退出控制台 Router>logout(eixt)进入全局模式配置 Router#configure terminal进入接口模式配置 Router(config)# interface Port#进入子接口配置模式 Router(config)#interface Subport#Line配置模式Router(config)#line Type#路由模式 Router(config) # router rip指定主机名Router(config)#hostname 25002500 (config)#路由基本配置命令更改休止超时默认情况下，10分钟之后路由将自动用户退出，可以利用exec-timeout命令改变这个时间Router(config) # Line line_type_#Router(config-line)#exec-timeout minutes seconds如果想让某调线路永远不超时，可以将分钟和秒钟的值设为0Router(config)#lineconsole 0Router(config-line)#exec-timeout 0 0配置路由器接口Router(config)#interface type [slot#]/port#Router(config-if)#Router(config-line)l type 同步串口serial async串行，ISDN bri和pri atm fddi tokenring ethernet faseternet gigabitrthnetl 在没有额外插槽的情况可以省略插槽号。

一、Cisco IOS防火墙技术基础1. 分层设备结构DMZ（Demilitarized Zone 非军事化区），使Cisco IOS防火墙可以将对外服务与内部网络相隔离。

通常情况下DMZ位于企业网与互联网之间。

DMZ的主要好处在于任何一台DMZ服务器的安全缺口不会危及内部网络的安全性。

将一个网络配置为使用多个DMZ被认为是一个非常好的体系架构，也是一个极佳的安全实践。

将每台服务器都放置在单独的DMZ中不但易于管理员更改每台服务器允许的访问用户，更重要的事黑客攻破一台服务器不会影响其他的服务器。

多DMZ体系架构如图1-1所示：图1-1 多DMZ2. 防火墙技术基础防火墙使用的三种技术，见表1-1：表2-1 防火墙技术包过滤是防火墙实现的最简单的技术，有有状态和无状态之分，区别在于过滤器是否跟踪并响应所给定的协议请求的内容。

虽然简单易用，但并不维护连接的当前状态数据库，因而比状态化包过滤安全性低。

图1-2 解释了包过滤防火墙技术图2-1 包过滤防火墙技术1.1ALGALG利用一台服务器来提供代理服务器，外部用户首先连接到ALG，ALG再连接到内部服务器并在内部服务器和外部用户间传递服务请求。

这很好的解决了安全问题，因为此时外部用户连接的事ALG 服务器，而非内部服务器。

原理如图1-3。

图2-2 应用层网关-ALG1.1状态化包过滤它是一种改良版的包过滤技术，可以提供额外的安全保护等级。

主要优势在于防火墙可以感知连接的状态。

此外状态包过滤还能理解7层协议，在应用层程序请求下建立新会话。

图1-4给出了帧头包过滤器的操作过程。

状态包过滤以不同否认方式处理每种协议，表1-2描述了处理方式。

表2-2 状态防火墙的协议处理3.CISCO IOS防火墙功能CISCO IOS防火墙主要功能：⏹CISCO IOS防火墙；⏹认证代理；⏹IPS（Intrusion Prevention System，入侵防御系统）。

1.1Cisco IOS防火墙它是一种状态包过滤器，功能如下：⏹允许或拒绝特定的TCP或UDP流量；⏹维护状态表；⏹动态修改ACL；⏹防范DoS攻击⏹检查通过接口的数据包1.2认证代理认证代理通过RADIUS（Remote Authentication Dial-In User Service，远程认证拨入用户服务）或TACACS+（Terminal Access Controller Access Control System Plus，终端接入控制器接入控制系统）按用户为以下协议提供认证和授权功能：HTTP、HTTPS、FTP、Telnet。

Cisco IOS防火墙的安全规则和配置方案网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。

网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。

而提供安全网关服务的类型有：地址转换、包过滤、应用代理、访问控制和D oS防御。

本文主要介绍地址转换和访问控制两种安全网关服务，利用cisco路由器对ISDN拨号上网做安全规则设置。

试验环境是一台有fir ewall版本IOS的cisco2621路由器、一台交换机组成的局域网利用ISDN 拨号上网。

一、地址转换我们知道，Internet 技术是基于IP 协议的技术，所有的信息通信都是通过IP包来实现的，每一个设备需要进行通信都必须有一个唯一的IP地址。

因此，当一个网络需要接入Inte rnet 的时候，需要在Internet上进行通信的设备就必须有一个在全球Internet网络上唯一的地址。

当一个网络需要接入Internet上使用时，网络中的每一台设备都有一个I nternet地址，这在实行各种Internet应用上当然是最理想不过的。

但是，这样也导致每一个设备都暴露在网络上，任何人都可以对这些设备攻击，同时由于I nternet目前采用的IPV4协议在网络发展到现在，所剩下的可用的IP地址已经不多了，网络中的每一台设备都需要一个IP地址，这几乎是不可能的事情。

采用端口地址转换，管理员只需要设定一个可以用作端口地址转换的公有Internet 地址，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP可以映射六万多台内部网主机。

从而隐藏内部网路地址信息，使外界无法直接访问内部网络设备。

Cisco路由器提供了几种NAT转换的功能：1、内部地址与出口地址的一一对应缺点：在出口地址资源稀少的情况下只能使较少主机连到internet 。

2、内部地址分享出口地址路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。

PIX防火墙学习总结拓扑图：环境：R1：loopback0： 1.1.1.1/24E0/0 ：12.12.12.1/30R2：loopback0： 2.2.2.2/24E0/0 ：23.23.23.1/30PIX1：E0 : 12.12.12.2/30E1 : 23.23.23.2/30verson: 7.2(2)一、双向一对一NATR1 ：hostname R1interface Loopback0ip address 1.1.1.1 255.255.255.0interface Ethernet0/0ip address 12.12.12.1 255.255.255.252half-duplexip route 0.0.0.0 0.0.0.0 12.12.12.2R2 ：hostname R2interface Loopback0ip address 2.2.2.2 255.255.255.0interface Ethernet0/0ip address 23.23.23.1 255.255.255.252half-duplexip route 0.0.0.0 0.0.0.0 23.23.23.2PIX1 ：PIX Version 7.2(2)!hostname pixfirewallenable password 8Ry2YjIyt7RRXU24 encryptednamesinterface Ethernet0nameif insidesecurity-level 100ip address 12.12.12.2 255.255.255.252interface Ethernet1nameif outsidesecurity-level 0ip address 23.23.23.2 255.255.255.252access-list acl_outside extended permit icmp any anyaccess-list 101 extended permit ip host 1.1.1.1 host 192.168.1.1static (outside,inside) 192.168.1.1 2.2.2.2 netmask 255.255.255.255static (inside,outside) 192.168.0.1 1.1.1.1 netmask 255.255.255.255access-group acl_outside in interface outsideroute inside 1.1.1.0 255.255.255.0 12.12.12.1 1route outside 0.0.0.0 0.0.0.0 23.23.23.1 1wireshark 抓包：同时抓（R1：e0/0 和R2：e0/0）R1：interface e0/0R2：interface e0/0总结：从抓包可以明显看出static （outside，inside）192.168.1.1 2.2.2.2 netmask 255.255.255.255作用是将要访问的外部本地地址192.168.1.1 映射外部全局地址2.2.2.2，这样内网只需要访问外部本地地址192.168.1.1即可；static （inside，outside）192.168.0.1 1.1.1.1 netmask 255.255.255.255作用是将内部全局地址192.168.0.1映射成内部本地地址1.1.1.1，这样外网只需要访问内部全局地址192.168.0.1所以在抓包看时：与1.1.1.1（内部本地地址）通讯的是192.168.1.1（外部本地地址）与2.2.2.2（外部全局地址）通讯的是192.168.0.1（内部全局地址）二、一对多NAT出方向（inside-->outside）R1 ：hostname R1interface Loopback0ip address 1.1.1.1 255.255.255.0interface Ethernet0/0ip address 12.12.12.1 255.255.255.252half-duplexip route 0.0.0.0 0.0.0.0 12.12.12.2R2 ：hostname R2interface Loopback0ip address 2.2.2.2 255.255.255.0interface Ethernet0/0ip address 23.23.23.1 255.255.255.252half-duplexip route 0.0.0.0 0.0.0.0 23.23.23.2PIX1 ：PIX Version 7.2(2)!hostname pixfirewallenable password 8Ry2YjIyt7RRXU24 encryptednamesinterface Ethernet0nameif insidesecurity-level 100ip address 12.12.12.2 255.255.255.252interface Ethernet1nameif outsidesecurity-level 0ip address 23.23.23.2 255.255.255.252access-list acl_outside extended permit icmp any any access-list 101 extended permit ip host 1.1.1.1 host 2.2.2.2 static (inside,outside) 192.168.1.1 access-list 101 access-group acl_outside in interface outsideroute inside 1.1.1.0 255.255.255.0 12.12.12.1 1route outside 0.0.0.0 0.0.0.0 23.23.23.1 1方法二access-list 101 extended permit ip host 1.1.1.1 host 2.2.2.2 nat (inside) 1 access-list 101global (outside) 1 192.168.1.1以上两个方法区别是方法二为一对多单向nat 但是不能互相ping方法一为暂时一对一可以互ping 外网2.2.2.2 ping 192.168.1.1内网1.1.1.1 ping 2.2.2.2NA T入方向（outside-->inside )PIX Version 7.2(2)!hostname pixfirewallenable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0nameif outsidesecurity-level 0ip address 12.12.12.2 255.255.255.252!interface Ethernet1nameif insidesecurity-level 100ip address 23.23.23.2 255.255.255.252access-list acl_outside extended permit icmp any anyaccess-list 101 extended permit ip host 2.2.2.2 host 192.168.1.1static (outside,inside) 192.168.1.1 1.1.1.1 netmask 255.255.255.255 (1.1.1.1--outside）access-group acl_outside in interface outsideroute outside 1.1.1.0 255.255.255.0 12.12.12.1 1route inside 2.2.2.0 255.255.255.0 23.23.23.1 1R1 e0/0 抓包（outside）R2 e0/0 抓包（inside）附：地址类型的理解对于网络地址转换的理解核心在于搞清楚NAT术语中所提到的四个地址。

防火墙硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单的说是一种PC式的电脑主机加上闪存和防火墙操作系统。

所有从外部到内部或内部到外部的通信都必须经过它；只有有内部访问策略授权的通信才能被允许通过；系统本身具有很强的高可靠性；防火墙技术：包过滤技术（访问控制列表）；状态检测我第一次亲手配置的是防火墙Cisco firewall pix 525.下面是一般用到的最基本配置1.建立用户、设置密码跟Cisco IOS路由器基本一样。

2.激活以太端口、命名端口与安全级别、配置以太网端口IP地址及静态路由，配置telnetPIX525(config)#interface ethernet0PIX525(config-if)#nameif outsidePIX525(config-if)#security-level 0PIX525(config-if)#ip address 221.12.59.243 255.255.255.128PIX525(config-if)#no shutPIX525(config)#ip address outside 221.12.59.243 255.255.255.128PIX525(config)#route outside 0.0.0.0 0.0.0.0 221.12.59.241 1PIX525(config)#telnet 172.18.32.0 255.255.224.0 insideXG-PIX-525# show nameifnameif ethernet0 outside security0nameif ethernet1 inside security100nameif gb-ethernet0 dmz security20nameif gb-ethernet1 inside1 security80XG-PIX-525# show routeoutside 0.0.0.0 0.0.0.0 221.12.59.241 1 OTHER staticinside1 172.16.0.0 255.240.0.0 172.18.254.134 1 OTHER staticinside1 172.18.254.132 255.255.255.252 172.18.254.133 1 CONNECT static dmz 192.168.254.0 255.255.255.0 192.168.254.1 1 CONNECT static outside 221.12.59.240 255.255.255.248 221.12.59.243 1 CONNECT static XG-PIX-525# show ipSystem IP Addresses:ip address outside 221.12.59.243 255.255.255.248no ip address insideip address dmz 192.168.254.1 255.255.255.0ip address inside1 172.18.254.133 255.255.255.252Current IP Addresses:ip address outside 221.12.59.243 255.255.255.248no ip address insideip address dmz 192.168.254.1 255.255.255.0ip address inside1 172.18.254.133 255.255.255.252XG-PIX-525# show telnet192.168.254.0 255.255.255.0 dmz172.18.240.0 255.255.240.0 inside1172.18.32.0 255.255.224.0 inside12.访问列表此功能与cisco IOS基本上是相似的，有permit和deny两个功能，网络协议一般有IP、TCP、UDP、ICMP、SSH等等，如：PIX525(config)#access-list 110 permit icmp any anyPIX525(config)#access-list 110 permit tcp any host 221.12.59.244 eq www PIX525(config)#access-list 110 permit tcp any host 221.12.59.243 eq ssh PIX525(config)#access-list 110 permit tcp any host 221.12.59.244 eq ftp PIX525(config)#access-group 100 in interface outside3.global指定公网地址范围：定义地址池Global(if_name) nat_id ip_address-ip-address [netmark global_mask](if_name):表示外网接口名称，一般为outside。

思科PIX防火墙命令大全思科PIX防火墙命令大全一、PIX防火墙的认识PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。

PIX有很多型号，并发连接数是PIX防火墙的重要参数。

PIX25是典型的设备。

PIX防火墙常见接口有：console、Failover、Ethernet、USB。

网络区域：内部网络：inside外部网络：outside中间区域：称DMZ(停火区)。

放置对外开放的服务器。

二、防火墙的配置规则没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。

(内部发起的连接可以回包。

通过ACL开放的服务器允许外部发起连接)inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

三、PIX防火墙的配置模式PIX防火墙的配置模式与路由器类似，有4种管理模式：PIXfirewall>：用户模式PIXfirewall#：特权模式PIXfirewall(config)#：配置模式monitor>：ROM监视模式，开机按住[Esc]键或发送一个“Break”字符，进入监视模式。

四、PIX基本配置命令常用命令有：nameif、interface、ipaddress、nat、global、route、static等。

1、nameif设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

例如要求设置：ethernet0命名为外部接口outside，安全级别是0。

ethernet1命名为内部接口inside，安全级别是100。

ethernet2命名为中间接口dmz,安装级别为50。

使用命令：PIX525(config)#nameif ethernet0 outside security0PIX525(config)#nameif ethernet1 inside security100PIX525(config)#nameif ethernet2 dmz security502、interface配置以太口工作状态，常见状态有：auto、100full、shutdown。

CISCO防火墙专题－防火墙技术ﻫ摘要防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。

本文介绍了防火墙技术的基本概念和系统结构,讨论了实现ciscｏ防火墙的两种主要技术手段：一种是基于分组过滤技术(Paｃket filteｒiｎg),它的代表是在筛选路由器上实现的防火墙功能；一种是基于代理技术(Ｐroｘy),它的代表是在应用层网关上实现的防火墙功能。

一、cisｃｏ防火墙的概念与构成所谓ｃｉsco防火墙就是一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强访问控制。

它的实现有好多种形式，有些实现还是很复杂的，但基本原理原理却很简单。

你可以把它想象成一对开关，一个开关用来阻止传输, 另一个开关用来允许传输。

ﻫ设立cisco防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。

通常，被保护的网络属于我们自己,或者是我们负责管理的,而所要防备的网络则是一个外部的网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全。

对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。

不同的cisｃo防火墙侧重点不同。

从某种意义上来说，ｃiscｏ防火墙实际上代表了一个网络的访问原则。

如果某个网络决定设定cisｃo防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(secuｒity poｌｉcy),即确定那些类型的信息允许通过ciscｏ防火墙，那些类型的信息不允许通过cｉsco防火墙。

cisco防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查，符合的予以放行,不符合的拒之门外。

ﻫ在设计cｉsｃｏ防火墙时,除了安全策略以外，还要确定ｃiｓco防火墙类型和拓扑结构。

一般来说，cisco防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。

思科ASA防火墙笔记防火墙命令1、可以在config下面直接show run int，而路由器是do show run int2、查看路由表show route 而路由器是show ip route3、查看接口状态show int ip b 而路由器是show ip int b4、防火墙检测是a、初始化状态化检测b、access-list c、默认防火墙策略MPF模块化策略框架class-map match -----> policy-map class inspect -----> service-policy5、Icmp包中的id和序列号，一般是把id当做端口号6、可以在config下面clear config all 清除running-configure 或者叫做出厂重置，wr erase清空start-config而路由器不能清除running-configure7、网管telnet23 ssh22 snmp(get set trap ) asdm（ASA设备管理，java程序，通过https443）在configure模式下telnet 0 0 inside 表示从inside进来的所有的源允许telnet，注意telnet不能从接口级别最低的接口AAA authentication telnet console LOCAL8、SSH 路由器需要hostname+domain-name，而防火墙不需要9、Managerment-only把防火墙的任何接口都变成纯网管管理接口，不能穿越ASA10、redundant冗余接口不能起子接口11、channel捆绑接口带宽叠加ON LACP( ACTIVE PASSIVE)公有PAgp私有捆绑接口根据源MAC做HASH 可以起子接口12、静态路由route nameif 前缀掩码next-hop13、防火墙所有的都是正掩码比如是255.255.255.0 255.255.255.22414、SLA(service-level Aggrement服务等级协议探测probe线路是否可用，依托ipicmpecho 即ping包测试) ECMP (equal cost mutil path等价开销多路径)15、防火墙配置PBR解决浮动静态路由(调整管理距离)问题，既主备又流量分担的问题。

思科ASA系列防火墙NAT解析网络地址转换(NAT, Network Address Translation)属接入广域网(WAN)技术，是一种将私有(保留)地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

防火墙都运行NAT，主要原因是：公网地址不够使用；隐藏内部IP 地址，增加安全性；允许外网主机访问DMZ。

动态NAT和PAT在图1中，内部主机访问外网和DMZ时，都需要转换源地址，配置方法如下：FW(config)# nat (inside) 1 10.0.1.0 255.255.255.0指定需要转换的源地址。

其NAT ID为1。

用于匹配global命令中的NAT ID。

FW(config)# global (outside) 1 61.136.150.10-61.136.150.20指定用于替代源地址的地址池。

其NAT ID为“1”，表明内口NAT ID为1的地址将被替换为地址池中的地址。

该方式即为动态NAT。

FW(config)# global (dmz) 1 10.0.2.20指定用于替代源地址的唯一地址。

其NAT ID为“1”，表明内口NAT ID为1的地址都将被替换为同一地址(10.0.2.20)。

该方式即为动态PAT。

收到来自内网的IP包后，防火墙首先根据路由表确定应将包发往哪个接口，然后执行地址转换。

静态NAT在图1中，为使外部用户可访问DMZ中的服务器，除适当应用ACL外，还需将服务器的IP地址(10.0.2.1)映射(静态转换)为公网地址(如61.136.151.1)，静态转换命令如下：FW (config)# static (dmz,outside) 61.136.151.1 10.0.2.1 netmask255.255.255.255本例中子网掩码为255.255.255.255，表示只转换一个IP地址。

若参数形如“10.0.2.0 61.136.151.0 netmask 255.255.255.0”，则表示要完成一个子网到另一个子网的静态转换。

思科ASA虚拟防火墙学习总结(昊昊)第1章激活多CONTEXT模式1.1安全的上下文概述3 1.2M ULTIPLE CONTEXT的使用环境3 1.2.1ISP想把一台ASA给更多的客户提供保护.那么实施MULTIPLE CONTEXT能够为更多的客户提供独立的安全策略,更多的保护.并且节省的花费. 3 1.2.2在一个企业网或者是园区网中,想要保证各个部门是绝对独立的3 1.2.3你的网络需要不止一台防火墙3 1.3不支持的特性3 1.3.1动态路由协议3 1.3.2VPN 4 1.3.3组播路由和组播桥接4 1.3.4威胁检查4 1.4虚拟墙的配置文件4 1.4.1C ONTEXT配置4 1.4.2系统配置4 1.4.3管理CONTEXT配置4 1.5ASA对数据包的分类4 1.5.1有效的分类标准5 1.5.2分类的例子5 1.6重叠安全CONTEXT9 1.7管理接入安全的虚拟墙10 1.7.1系统管理员访问10 1.8开启和关闭防火墙的MULTIPLE CONTEXT模式11 1.8.1激活虚拟墙11 1.8.2恢复到单一模式11第1章激活多context模式1.1 安全的上下文概述ASA可以把单一的安全设备分割成多个虚拟的防火墙.叫做安全的context.每一个context就是一个独立的设备,拥有自己的安全策略,接口,管理.多个context有点类似于多个独立真实的防火墙一样.包括路由表,防火墙特性,IPS,管理.一些特性是不支持的,例如:动态路由协议,VPN等1.2 Multiple context的使用环境1.2.1 ISP 想把一台ASA给更多的客户提供保护.那么实施multiple context能够为更多的客户提供独立的安全策略,更多的保护.并且节省的花费.1.2.2 在一个企业网或者是园区网中,想要保证各个部门是绝对独立的1.2.3 你的网络需要不止一台防火墙1.3 不支持的特性Multiple context不支持的特性:1.3.1 动态路由协议虚拟墙只能够支持静态路由协议,动态(OSPF,RIP,EIGRP)不被支持1.3.2 VPN1.3.3 组播路由和组播桥接1.3.4 威胁检查1.4 虚拟墙的配置文件每一个虚拟墙都会有它独立的配置,具体分为3种:1.4.1 Context配置ASA包括每一个context的配置目的为了区分安全策略,接口,几乎配置单独ASA的所有配置.可以存储context配置在内部或者外部的flash上,或者上传下载到TFTP,FTP,HTTPS服务器上1.4.2 系统配置这个系统配置文件是通过配置每一个context的配置文件来管理context(虚拟墙),例如分配接口,其他的context的操作.类似于一个单一模式的配置.1.4.3 管理context配置这个admin context有点类似于其他的context.主要用于对虚拟墙进行管理.1.5 ASA对数据包的分类每一个数据包进入ASA的话是必须要被分类的,以至于ASA能够决定哪个虚拟墙去转发数据包.1.5.1 有效的分类标准1.5.1.1 唯一的接口如果只有一个虚拟墙互联了一个进入的接口,那么ASA会把数据包分给这个context.在透明模式下,唯一的接口是必须的.1.5.1.2 唯一的MAC地址如果多个context共享一个接口的话, 不管是共享物理接口还是子接口.默认的共享接口那么这个分类器会使用共享接口的MAC地址,ASA会让你指定不通的MAC地址给每一个context.1.5.1.3 NAT配置如果没有唯一的MAC地址,分类器会截获数据包,发起一个目的IP地址的查找.只使用IP数据包中的目的地址字段.如果有context NAT的地址是改数据包的目的地址,那么分类器就会把该数据包分配给这个context.1.5.2 分类的例子多个虚拟墙共享一个OUTSIDE接口,分类器把数据包分配给了context B,因为context B包含了改数据包的目的MAC地址.数据包分配给了context B.因为数据包的目的地址是context B转换后的地址.所有新进入的流量必须被分类,及时是从内部网络.如下图:分类器指定了该数据包去context B,因为内部接口gi0/1.3被指定了contextB.对于透明模式,必须设置使用唯一接口.1.6 重叠安全context把一个context放置在另外一个context的前面叫做重叠安全context.一个context的外部接口和另外一个context的内部接口是同一个接口.1.7 管理接入安全的虚拟墙在multiple模式下ASA提供了系统管理,和管理单一防火墙是一样的.1.7.1 系统管理员访问可以用两种方法以系统管理员的身份访问防火墙:1.7.1.1 采用console线连接ASA的console口1.7.1.2 采用telnet,SSH,ASDM登入防火墙做为系统管理员,可以接入所有的context1.8 开启和关闭防火墙的multiple context模式1.8.1 激活虚拟墙上下文模式(single or multiple)并没有存储在配置文件中.当从单一模式转换成多重模式的时候,ASA将会把当前配置转换到两个文件:一个新的启动配置(包含系统配置),另外一个文件为admin.cfg(包括admin配置).原来的running-config被保存成了old_running.cfg(内部flash根文件夹中).原来的startup配置不会被保存,ASA会针对系统配置的管理context自动加入一个条目,名字为admin.激活虚拟墙:需要重启生效.1.8.2 恢复到单一模式如果从多重模式转换到单一模式的时候,需要将以前的完整startup-config 恢复过来.也就是old_running.cfg文件.1.8.2.1 将old_running.cfg恢复到当前的startup-config1.8.2.2 改变多重模式为单一模式PDF 文件使用 "pdfFactory Pro" 试用版本创建w 。

我们知道防⽕墙有四种类型：集成防⽕墙功能的路由器，集成防⽕墙功能的代理服务器，专⽤的软件防⽕墙和专⽤的软硬件结合的防⽕墙。

Cisco的防⽕墙解决⽅案中包含了四种类型中的第⼀种和第四种，即：集成防⽕墙功能的路由器和专⽤的软硬件结合的防⽕墙。

⼀、集成在路由器中的防⽕墙技术 1、路由器IOS标准设备中的ACL技术 ACL即Access Control Lis t（访问控制列表），简称Access List（访问列表），它是后续所述的IOS Firewall Feature Set的基础，也是Cisco全线路由器统⼀界⾯的操作系统IOS（Internet Operation System，间操作系统）标准配置的⼀部分。

这就是说在购买了路由器后，ACL功能已经具备，不需要额外花钱去买。

2、 IOS Firewall Feature Set（IOS防⽕墙软件包） IOS Firewall Feature Set是在ACL的基础上对安全控制的进⼀步提升，由名称可知，它是⼀套专门针对防⽕墙功能的附加软件包，可通过IOS升级获得，并且可以加载到多个Cisco路由器平台上。

⽬前防⽕墙软件包适⽤的路由器平台包括Cisco 1600、1700、2500、2600和3600，均属中、低端系列。

对很多倾向与使⽤"all-in-one solution"（⼀体化解决⽅案），⼒求简单化管理的中⼩企业⽤户来说，它能很⼤程度上满⾜需求。

之所以不在⾼端设备上实施集成防⽕墙功能，这是为了避免影响⼤型络的主⼲路由器的核⼼⼯作--数据转发。

在这样的络中，应当使⽤专⽤的防⽕墙设备。

Cisco IOS防⽕墙特征： 基于上下⽂的访问控制（CBAC）为先进应⽤程序提供基于应⽤程序的安全筛选并⽀持最新协议 Java能防⽌下载动机不纯的⼩应⽤程序 在现有功能基础上⼜添加了拒绝服务探测和预防功能，从⽽增加了保护 在探测到可疑⾏为后可向中央管理控制台实时发送警报和系统记录错误信息 TCP/UDP事务处理记录按源/⽬的地址和端⼝对跟踪⽤户访问 配置和管理特性与现有管理应⽤程序密切配合 订购信息 Cisco 1600系列Cisco IOS防⽕墙特性 IP/Firewall CD16-BW/EW/CH-11.3= IP/Firewall CD16-BY/EY/CH-11.3= IP/IPX/Firewall Plus CD16-C/BHP-11.3= Cisco 2500系列Cisco IOS防⽕墙特性 IP/Firewall CD25CH-11.2= IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=⼆、专⽤防⽕墙--PIX PIX（Private Internet eXchange）属于四类防⽕墙中的第四种--软硬件结合的防⽕墙，它的设计是为了满⾜⾼级别的安全需求，以较好的性能价格⽐提供严密的、强有⼒的安全防范。