1.ASA安全等級(jí)
默認(rèn)情況下，Cisco PIX防火墻將安全等級(jí)應(yīng)用到每一個(gè)接口。越安全的網(wǎng)絡(luò)段，安全級(jí)別越高。安全等級(jí)的范圍從0~100,默認(rèn)情況下，安全等級(jí)0適應(yīng)于e0,并且它的默認(rèn)名字是外部(outside),安全等級(jí)100適應(yīng)于e1.并且它的

默認(rèn)名字是inside.
使用name if 可以配置附加的任何接口，安全等級(jí)在1~99之間
e.g:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50

1.1自適應(yīng)安全算法(ASA)允許流量從高安全等級(jí)段流向低安全等級(jí)段，不需要在安全策略中使用特定規(guī)則來(lái)允許這些連接，而只要用一個(gè)nat

/global命令配置這些接口就行了。

1.2同時(shí)如果你想要低安全等級(jí)段流向一個(gè)高安全等級(jí)段的流量必須經(jīng)過(guò)安全策略(如acl或者conduit).

1.3如果你把兩個(gè)接口的安全等級(jí)設(shè)置為一樣，那流量不能流經(jīng)這些接口

請(qǐng)記得ASA是cisco pix防火墻上狀態(tài)連接控制的關(guān)鍵。

2.傳輸協(xié)議
2.1首先請(qǐng)理解一下OSI的7層模型，說(shuō)實(shí)話，如果你要做IT,那么這個(gè)OSI的7層模型一定要搞懂，也就像windows 的DNS一樣，一定要花工夫在上面。其中1~7是從物理層向上數(shù)的，物理層為第一層，應(yīng)用層為第七層。
應(yīng)用層　數(shù)據(jù)
表示層　數(shù)據(jù)
會(huì)話層　數(shù)據(jù)
傳輸層　Segment
網(wǎng)絡(luò)層　Packet
數(shù)據(jù)鏈路層 Frame
物理層　Bit

2.2了解一下TCP/IP
通俗的講TCP/IP包含兩個(gè)傳輸協(xié)議TCP,UDP,當(dāng)然還包括其他，TCP/IP是一個(gè)協(xié)議族，是對(duì)OSI理論的一個(gè)實(shí)現(xiàn)，是真正應(yīng)用到網(wǎng)絡(luò)中的一個(gè)

工業(yè)協(xié)議族。
TCP-它是一個(gè)基于連接的傳輸協(xié)議，負(fù)責(zé)節(jié)點(diǎn)間通信的可靠性和效率,通過(guò)創(chuàng)建virtual circuits的連接來(lái)源端和目的端擔(dān)當(dāng)雙向通信來(lái)完成這些任務(wù)，由于開(kāi)銷很大，所以傳輸速度變慢。
UDP-它是一個(gè)非連接的傳輸協(xié)議，用于向目的端發(fā)送數(shù)據(jù)

理解沒(méi)有PIX的節(jié)點(diǎn)間的TCP通信(三次握手)
理解有一個(gè)PIX的節(jié)點(diǎn)間TCP通信

2.3注意默認(rèn)的安全策略允許UDP分組從一個(gè)高安全等級(jí)段送到一個(gè)低安全等級(jí)段。
cisco pix 防火墻用下列的方法來(lái)處理UDP流量:
2.3.1源及其開(kāi)始UDP連接，Cisco pix防火墻接收這個(gè)連接，并將它路由到目的端。Pix應(yīng)用默認(rèn)規(guī)則和任何需要的轉(zhuǎn)換，在狀態(tài)表中創(chuàng)建一個(gè)會(huì)話對(duì)象，并允許連接通過(guò)外部接口
2.3.2任何返回流量要與繪畫對(duì)象匹配，并且應(yīng)用會(huì)話超時(shí)，默認(rèn)的會(huì)話超時(shí)是2分鐘.如果響應(yīng)不匹配會(huì)話對(duì)象,或者超時(shí),分組就會(huì)被丟棄,如果一切匹配,就會(huì)允許響應(yīng)信號(hào)傳送到發(fā)送請(qǐng)求的源端
2.3.3任何從一個(gè)低安全等級(jí)段到一個(gè)高安全等級(jí)段的入站的UDP會(huì)話都必須經(jīng)安全策略允許,或者中斷連接.

3.網(wǎng)絡(luò)地址轉(zhuǎn)換
理解RFC1918的三類地址空間:
10.0.0.0~10.255.255.255
172.16.0.0~172.16.255.255
192.168.0.0~192.168.255.255
地址轉(zhuǎn)換是cisco pix防火墻為內(nèi)部節(jié)點(diǎn)提供的使用專用IP地址訪問(wèn)internet的一種方法.被轉(zhuǎn)換的地址稱為內(nèi)部地址,轉(zhuǎn)換后的地址稱為全局地址.
這里有一句話要記住:將一個(gè)接口的任何地址轉(zhuǎn)換成其他任何地址接口的另外一個(gè)地址是可能的,這句話意思是如果你的網(wǎng)段內(nèi)部地址可以轉(zhuǎn)換成outside的地址,也可以轉(zhuǎn)換成DMZ的地址,只要正確的使用了nat和global命令.
如:global (outside) 1 interface
global (dmz) 1 xxx.xxx.xxx.xxx
nat (inside) 1 192.168.6.0 255.255.255.0 0 0

動(dòng)態(tài)地址轉(zhuǎn)換涉及到NAT和PAT,靜態(tài)地址也就是我們通常所說(shuō)的給DMZ接口的地址作一個(gè)靜態(tài)隱射,通常用于如web site和mail server等相對(duì)關(guān)鍵的業(yè)務(wù).以便Internet上的用戶可以通過(guò)他們的全局地址連接這些服務(wù)器.

NAT命令
pix(config)#nat inside 1 192.168.6.0 255.255.255.0
pix(config)#global (outside) 1 10.0.0.1~10.0.0.255 netmask 255.0.0.0
注意命令中的1在nat和global命令必須相同,它允許指派特定的地址進(jìn)行轉(zhuǎn)換.
在這里1不能換0,你可以換其他的數(shù),因?yàn)閚at 0在pix有特定的含義,nat 0表示在pix上用于檢測(cè)不能被轉(zhuǎn)換的地址,我們通常在做acl轉(zhuǎn)換也應(yīng)用到這個(gè)命令.

PAT命令:
PAT允許將本地地址轉(zhuǎn)換

成一個(gè)單一的全局地址,執(zhí)行NAT和PAT命令有所相似,不同的是PAT是定義一個(gè)單一的全局地址而不是像NAT一樣定義一定范圍的地址.
pix(config)#nat (inside) 1 0.0.0.0 0.0.0.0 表示轉(zhuǎn)換網(wǎng)段中的所以地址
pix(config)#global (inside) 10.0.0.1 255.0.0.0

靜態(tài)地址:
通常將static和conduit命令一起使用,或者可以使用acl來(lái)代替conduit
static命令只配置地址轉(zhuǎn)換,為了允許來(lái)自一個(gè)從低安全等級(jí)接口對(duì)本地節(jié)點(diǎn)的訪問(wèn),我們前面講過(guò),需要配置ACL或者建立一個(gè)通道.
pix(config)#static (inside,outside) 10.0.0.1 192.168.0.9
pix(config)#conduit permit tcp host 192.168.0.9 eq www any
(這里host表示的是指一個(gè)特定的主機(jī)host 192.168.0.9表示 192.168.0.9 255.255.255.255為什么要是255.255.255.255,別搞成為subnet mask,它是wildcard,也就是通配符,any表示任何源地址和目的地址,0.0.0.0 255.255.255.255.eq is mean the match only packets on a given port number.)
這里我們可以把conduit轉(zhuǎn)換成ACL
pix(config)#access-list 101 permit tcp any host 192.168.0.9 eq www
pix(config)#access-group 101 in interface outside

使用static命令實(shí)現(xiàn)端口重定向
pix(config)#static (inside,outside) tcp 192.168.0.9 ftp 10.10.10.9 2100 netmask 255.255.255.255. 0.0
其中ftp可以用21來(lái)表示,在這里的服務(wù)與前面的協(xié)議對(duì)應(yīng),是tcp 還是udp,ftp當(dāng)然對(duì)應(yīng)tcp.
這個(gè)命令的意思我通過(guò)在低安全等級(jí)訪問(wèn)192.168.0.9的21端口,它自動(dòng)轉(zhuǎn)到10.10.10.9 2100這個(gè)端口上.

在6.2版本以上支持雙向網(wǎng)絡(luò)地址轉(zhuǎn)換,我不知道這個(gè)是什么意思?
他說(shuō)可以對(duì)外部源IP地址的NAT,以便將外部接口的分組發(fā)送到一個(gè)內(nèi)部接口上兩個(gè)重要的命令:
show xlate查看轉(zhuǎn)換表
show conn查看連接狀況
有很多命令選項(xiàng),大家可以在cli下show xlate ?查看一下,對(duì)你處理故障非常有用.

5.配置DNS支持
在默認(rèn)情況下,PIX鑒別每個(gè)輸出的DNS請(qǐng)求,并且只允許一個(gè)對(duì)這些請(qǐng)求的響應(yīng).隨后所有對(duì)原始查詢的響應(yīng)會(huì)被丟棄.
所以有時(shí)候我們?cè)趐ix使用show conn看到有很多去DNS的響應(yīng)都被丟掉,這個(gè)是合理的現(xiàn)象.