Cisco Cisco ASA 5545-X Adaptive Security Appliance - No Payload Encryption 快速安装指南
1-7
思科 ASA 系列常规操作 CLI 配置指南
第 1 章 思科 ASA 简介
防火墙功能概述
在多情景模式中,如果将路由器放置在 ASASM 后面,则只能将路由器连接到一个情景。在这种
情况下,如果将路由器连接到多个情景,路由器将在这些情景之间进行路由,而这可能不是您的
本意。多情景的典型情况是,在所有情景的前面使用一个路由器,用于在互联网与交换网络之间
进行路由 (请参阅
情况下,如果将路由器连接到多个情景,路由器将在这些情景之间进行路由,而这可能不是您的
本意。多情景的典型情况是,在所有情景的前面使用一个路由器,用于在互联网与交换网络之间
进行路由 (请参阅
)。
图
1-2
多情景模式中
MSFC/
路由器的放置
防火墙功能概述
防火墙可防止外部网络上的用户在未经授权的情况下访问内部网络。防火墙还具有其他功能,例
如,可以将人力资源网络与用户网络分离开,以在内部网络互相之间提供保护。如果有需要提供给
外部用户使用的网络资源 (例如网络服务器或 FTP 服务器),可以将这些资源放置在防火墙后面的
单独网络上 (这种网络称为
如,可以将人力资源网络与用户网络分离开,以在内部网络互相之间提供保护。如果有需要提供给
外部用户使用的网络资源 (例如网络服务器或 FTP 服务器),可以将这些资源放置在防火墙后面的
单独网络上 (这种网络称为
隔离区 (DMZ))。防火墙允许有限访问 DMZ,但由于 DMZ 只包括公共
服务器,因此,在那里发生的攻击只会影响服务器,而不会影响其他内部网络。还可以通过以下手
段来控制内部用户何时可以访问外部网络 (例如,访问互联网):仅允许访问某些地址;要求身份
验证或授权;配合使用外部 URL 过滤服务器。
段来控制内部用户何时可以访问外部网络 (例如,访问互联网):仅允许访问某些地址;要求身份
验证或授权;配合使用外部 URL 过滤服务器。
连接到防火墙的网络通常具有以下特点:
外部网络在防火墙前面;内部网络受保护并位于防火墙
后面;DMZ 也位于防火墙后面,但允许外部用户进行有限访问。由于 ASA 允许配置具有各种安
全策略的很多接口,包括很多内部接口、很多 DMZ,甚至是很多外部接口 (如有需要),因此,
这些术语仅具有一般意义
全策略的很多接口,包括很多内部接口、很多 DMZ,甚至是很多外部接口 (如有需要),因此,
这些术语仅具有一般意义
•
•
•
Context A
Context B
Context C
VLAN 203
VLAN 202
VLAN 201
VLAN 100
Admin
Context
VLAN 200
VLAN 300
VLAN 303
VLAN 302
VLAN 301
MSFC/Router
Internet
Inside
Customer A
Inside
Customer B
Inside
Customer C
Admin
Network