ASA防火墙K8与K9的区别

防火墙的分类防火墙是一种网络安全设备，它通过控制网络流量进出口来保护计算机网络安全。

防火墙的主要作用是控制网络流量，只允许授权的流量通过，拦截恶意攻击和非法访问。

根据其实现方式和工作原理，防火墙可以分成以下几类。

1. 包过滤型防火墙包过滤型防火墙以网络包为基本单位，通过检查网络包的IP地址、端口、协议以及数据内容等信息来判断其是否允许通过。

该类防火墙工作在网络层，简单、快捷、灵活，但是它不能处理复杂的会话流量，并且易受到欺骗和攻击。

2. 应用代理型防火墙应用代理型防火墙工作在应用层，它通过替代通常的网络协议执行代理服务，对流量的有效性和合法性进行检测和过滤，从而保护网络安全。

该类防火墙可以提供更加精细和安全的控制，但是会占用较多的系统资源，导致网络流量的延迟。

3. 状态检测型防火墙状态检测型防火墙将协议与状态绑定，它能够检测网络连接的状态，并且分析流量数据包，以此来判断网络连接是否合法，从而保护网络安全。

该类防火墙工作在会话层，能够防止网络会话劫持等攻击，但是它比较复杂，需要进行密集的资源分析和检测流量。

无状态防火墙不保存任何连接状态信息，它只是对每个流量包依照规则进行过滤并进行允许或拒绝控制。

该类型的防火墙工作原理简单，可以高效地过滤流量并进行控制，但无法实现对复杂会话流量和会话状态的检测控制。

混合型防火墙是综合使用多种防火墙技术，通过其各自长处的结合，从而形成一种更加强大和全面的网络安全控制手段。

在实际网络安全环境中，混合型防火墙通常能够在灵活性和安全性上达成最佳平衡。

总之，防火墙的分类不仅能够从不同角度对其进行划分，也提供了不同的网络安全解决方案，更为重要的是，了解不同类型的防火墙对于公司网络及数据安全的保护至关重要，企业必须根据自身的安全需求选择最合适的防火墙进行保护和威胁控制。

防火墙的分类与优缺点知识网络安全成为当今最热门的话题之一，很多企业为了保障自身服务器或数据安全都采用了防火墙。

随着科技的发展，防火墙也逐渐被大众所接受。

但是，由于防火墙是属于高科技产物，许多的人对此还并不是了解的十分透彻。

而这篇文章就是给大家讲述了防火墙工作的方式，以及防火墙的基本分类，并且讨论了每一种防火墙的优缺点。

欢迎大家阅读一、防火墙的基本分类1.包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。

这称为包过滤防火墙。

本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。

例如，作为防火墙的设备可能有两块网卡(NIC)，一块连到内部网络，一块连到公共的Internet。

防火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的包。

包过滤防火墙检查每一个传入包，查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。

然后，将这些信息与设立的规则相比较。

如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。

如果允许传入Web连接，而目的端口为80，则包就会被放行。

多个复杂规则的组合也是可行的。

如果允许Web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。

最后，可以确定当一个包到达时，如果对该包没有规则被定义，接下来将会发生什么事情了。

通常，为了安全起见，与传入规则不匹配的包就被丢弃了。

如果有理由让该包通过，就要建立规则来处理它。

建立包过滤防火墙规则的例子如下：对来自专用网络的包，只允许来自内部地址的包通过，因为其他包包含不正确的包头部信息。

这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。

而且，如果黑客对专用网络内部的机器具有了不知从何得来的访问权，这种过滤方式可以阻止黑客从网络内部发起攻击。

在公共网络，只允许目的地址为80端口的包通过。

这条规则只允许传入的连接为Web连接。

华为防火墙型号命名规则随着网络安全问题日益突出，企业和机构对于网络安全的需求也日益增长。

作为网络安全领域的重要设备之一，防火墙在保障网络安全方面起着至关重要的作用。

而华为作为全球领先的网络设备制造商，其防火墙产品也备受用户青睐。

本文将介绍华为防火墙型号命名规则，帮助大家更好地理解和选择适合自己的防火墙产品。

一、产品系列和功能特点华为防火墙产品根据其不同的系列和功能特点进行命名。

一般而言，型号的命名规则为“字母+数字”的组合，其中字母表示产品的系列，数字表示产品的不同功能特点和性能等级。

常见的字母表示如下：1. E系列：表示企业级产品。

这一系列的产品适用于大型企业或机构，具备高性能、高可靠性和丰富的功能特点。

2. X系列：表示扩展型产品。

这一系列的产品适用于中小型企业或机构，具备扩展能力强、易于管理等特点。

3. S系列：表示安全型产品。

这一系列的产品注重网络安全性能，适用于对网络安全要求较高的企业或机构。

4. M系列：表示中端型产品。

这一系列的产品在性能和功能方面具备良好的平衡，适用于中小型企业或机构。

5. P系列：表示低端型产品。

这一系列的产品适用于小型企业或机构，具备基本的防火墙功能。

二、功能特点的数字命名规则华为防火墙产品除了使用字母表示产品的系列外，还使用数字来表示产品的不同功能特点和性能等级。

其中，通常使用的数字及其对应的功能特点如下：1. 0表示基础型。

这种型号的防火墙产品具备基本的防火墙功能，能够实现基本的入侵检测、访问控制等功能。

2. 5表示高可靠型。

这种型号的防火墙产品在基础型的基础上，具备更高的可靠性和冗余设计，以保证网络安全的连续性。

3. 8表示高性能型。

这种型号的防火墙产品在高可靠型的基础上，具备更高的性能和处理能力，可以应对大规模的网络流量。

4. 9表示高级型。

这种型号的防火墙产品在高性能型的基础上，具备更多的高级功能，如内容过滤、虚拟专网等，可以满足更高级的网络安全需求。

常见防火墙的类型目前主流的防火墙类型有完全的端口过滤型防火墙（Packet Filter Firewall ）、深度包检查型防火墙（Stateful Inspection Firewall）、应用层防火墙（Application layer Firewall）及其其他变种类型。

1、完全的端口过滤型防火墙完全的端口过滤型防火墙（Packet filter Firewall）也叫静态数据报过滤防火墙，它通过过滤指定的IP地址和端口号，来屏蔽不符合策略要求的网络通信，可以过滤网络中传输及接收的数据报信息，特别是按照IEF（Internet Engineering Task Force）发布的RFC 791《Internet Protocol》和RFC 793《Transmission Control Protocol》的IP/TCP协议格式对网络是进行逐个报文的审核。

完全的端口过滤型防火墙的优点是技术实现简单，管理方便，性能强，它能在一定幅度上防止网络中病毒，它还可以从网络端口数据报辨别出一定程度的木马攻击。

因此，完全的端口过滤型防火墙常用于“内网设置外网（Intranet set Extranet）”型的网络架构中，用以过滤不授权的外网数据报进入内网，防止传输数据、病毒攻击等传输带来的安全威胁。

2、深度包检查型防火墙深度包检查型防火墙（Stateful Inspection Firewall）是在完全的端口过滤型防火墙的基础上，通过深入检查数据报中的数据内容（包括传输控制协议数据报以及应用层协议数据报），以及通信中数据报交互的顺序，来确定符合保护策略的网络数据报通讯和不符合保护策略的数据报通讯，它检查的工作量往往大于完全的端口过滤型防火墙，因此，它的运行效率会比较低。

深度包检查型防火墙的优点是屏蔽的选择性更强，更能抵御特定的攻击和专业的黑客企图；其缺点是通信效率低、技术实现稍微复杂，有时可能会出现配置失误，防火墙无法提供服务。

很多人以为在做VPN实验的时候，IOS有K8表示只支持des加密，K9表示同时支持des和3des加密，其实这种理解有点误区，为了说明清楚特意写下这个文档。

【1】.DES算法：（Data Encryption Algorithm数据加密算法），采用64位密钥技术（有效密钥为56位，有8位校验位）。

3DES算法：以DES为基本模块，通过组合分组方法设计出分组加密算法，连续使用3次DES算法，这样3DES就可以采用192为密钥（有效密钥位为168位）进行加密，安全性能大幅提升。

【2】.在ASA上执行show version命令，发现asa804-k8.bin 只支持des，这个看似和之前的理解一样：ciscoasa# sh versionCisco Adaptive Security Appliance Software Version 8.0(4)Compiled on Thu 07-Aug-08 20:53 by buildersSystem image file is "disk0:/asa804-k8.bin"Config file at boot was "startup-config"ciscoasa up 55 mins 49 secsHardware: ASA5520, 2048 MB RAM, CPU Pentium 4 Celeron 2000 MHzInternal ATA Compact Flash, 256MBBIOS Flash Firmware Hub @ 0xffe00000, 1024KBEncryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)Boot microcode : CN1000-MC-BOOT-2.00SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03IPSec microcode : CNlite-MC-IPSECm-MAIN-2.050: Ext: GigabitEthernet0/0 : address is 4055.3981.c3f8, irq 91: Ext: GigabitEthernet0/1 : address is 4055.3981.c3f9, irq 92: Ext: GigabitEthernet0/2 : address is 4055.3981.c3fa, irq 93: Ext: GigabitEthernet0/3 : address is 4055.3981.c3fb, irq 94: Ext: Management0/0 : address is 4055.3981.c3f7, irq 115: Int: Not used : irq 116: Int: Not used : irq 5Licensed features for this platform:Maximum Physical Interfaces : UnlimitedMaximum VLANs : 150Inside Hosts : UnlimitedFailover : Active/ActiveVPN-DES : EnabledVPN-3DES-AES : DisabledSecurity Contexts : 2GTP/GPRS : DisabledVPN Peers : 750WebVPN Peers : 2AnyConnect for Mobile : DisabledAnyConnect for Linksys phone : DisabledAdvanced Endpoint Assessment : DisabledUC Proxy Sessions : 2This platform has an ASA 5520 VPN Plus license.Serial Number: JMX1522L1NNRunning Activation Key: 0x85015755 0xa8d8edd8 0x1ce3d52c 0xb44c68b0 0x4d1f2db7 Configuration register is 0x2001Configuration has not been modified since last system restart.ciscoasa#再看另外一个项目中ASA5520的配置，发现asa803-k8.bin支持des和3des。

ASA防火墙K8与K9的区别1:K8与K9的区别Cisco ASA 5500防火墙，K8和K9，从硬件到IOS，都是完全一样的，价钱确相差较大，唯一的区别在于K8的VPN-3DES-AES：disable，K9的VPN-3DES-AES：enable。

也就是说K8只支持vpn使用DES加密，不支持3DES加密；K9可以同时支持VPN的DES、3DES 和AES加密方式。

具有更高的安全性能。

VPN（Virtual Private Network ，虚拟专用网），是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

当数据离开发送者所在的局域网时，该数据首先被用户湍连接到互联网上的防火墙进行硬件加密，数据在互联网上是以加密的形式传送的，当达到目的LAN的路由器时，该路由器就会对数据进行解密，这样目的LAN中的用户就可以看到真正的信息了。

在这个加解密过程中，就产生了使用DES算法和3DES算法的区别。

DES算法：（Data Encryption Algorithm数据加密算法），采用64位密钥技术（有效密钥为56位，有8位校验位），1977年被美国政府正式采纳。

3DES算法：（即Triple DES）是DES的一个更安全的变形。

它以DES为基本模块，通过组合分组方法设计出分组加密算法，简单的说就是加密过程就对明文使用des执行加密→解密→再加密的过程，连续使用3次DES算法，这样3DES就可以采用192为密钥（有效密钥位为168位）进行加密，安全性能大幅提升。

AES：（Advanced Encryption Standard，），是美国政府采用的新的密码标准，采用对称分组密码体制，密钥长度的最少支持为128、192、256，分组长度128位。

相对DES具有更高的可靠性。

2：K8与K9区分方法由于K8与K9从硬件到软件版本完全相同，只能通过是否支持3DES和AES加密的方式来区分。

关于防火墙安全区域安全级别的描述1. 介绍防火墙作为网络安全的关键组成部分，其安全区域安全级别的设置对于网络安全至关重要。

根据不同的安全需求，我们需要合理地划分和设置安全区域安全级别，以确保网络内部的安全防护。

本文将从深度和广度的角度，全面探讨防火墙安全区域安全级别的相关内容，以帮助读者更好地理解和应用。

2. 安全区域安全级别的概念在网络安全领域中，我们将网络按照其安全需求和重要性进行划分，划分成不同的安全区域，并为每个安全区域设置相应的安全级别。

安全级别的设置可以决定不同区域之间的数据流向和访问权限，从而实现网络内部的安全防护和隔离。

3. 安全级别的分类针对不同的安全需求，我们可以将安全级别分为多个等级，一般包括公开区域、受限区域、保密区域等。

公开区域的安全级别最低，受限区域的安全级别适中，而保密区域的安全级别最高。

根据实际情况，我们也可以设置更多的安全级别，以适应不同网络环境的安全需求。

4. 安全级别的设置原则在设置安全级别时，我们需要遵循一些原则。

安全级别应该根据实际安全需求进行设置，不能盲目提高或降低安全级别。

不同安全级别之间应该建立严密的访问控制和流量过滤，以确保数据的安全传输。

安全级别的设置应该符合相关法律法规和标准要求，以确保网络安全合规。

5. 安全级别的实际应用在实际网络环境中，我们可以借助防火墙等安全设备来实现安全级别的设置和管理。

防火墙可以根据安全策略，对不同安全级别的流量进行检查和过滤，确保数据在不同安全区域之间的安全传输。

我们还可以结合虚拟专用网络（VPN）等技术，进一步加强不同安全区域之间的安全连接和通信。

6. 个人观点和总结在网络安全中，安全区域安全级别的设置是至关重要的环节，它直接影响着网络的安全性和稳定性。

我认为，合理地设置安全级别，并结合相应的安全设备和技术，可以有效地提升网络的安全防护能力，防范各类网络威胁和攻击。

希望读者通过本文的介绍，能够更好地理解和应用安全区域安全级别的相关知识，为网络安全保驾护航。

我们都知道ASA防火墙出厂的配置一般都是K8，那么这个K8与K9到底对我们那些应用有影响呢？其实这个只是对在做VPN这类数据要加密的时候才起到作用，如果你不做这类事，那么你的防火墙就可以不用升级。

K8&K9从硬件，软件上都是一样的，但是价格相差很大。

主要区别是加密级别不一样，K9有3DES加密，即3DES:enable，而K8的3DES:disable，仅凭借这点就可以判断了。

K8 &K9不是看你的IOS名字而是看VPN 3DES是否开启。

那么下面我们就来看看这个如何来查看该防火墙是否支持的是K8还是K9呢？通过Telnet或者Console口连接进去，就进入了命令行模式，输入：show activation-key，找到3DES 这项即可。

打开cisco license网站：/go/license输入你们的CCO帐号与密码登录进去。

如果没有的话，直接找我也行哈！我来帮你们弄！因为我们这里没有PAK认证码，所以我们就只能点击“here for available licenses.”打开“Cisco ASA 3DES/AES License”进去。

输入我们ASA里面的序列号。

将“Click here if you accept the condi tions of the End-User License Agreement”这个选中，然后就是下面的邮箱一定要填写正确，因为当你提交了以后，cisco公司会以邮件的方式发给你。

一定要注意上面的Email地址哦，输错了就发到别人邮箱里面去了哦！当我们点击提交以后，就会出现一个确认页面。

直接点提交就Ok了。

当我们点击“提交”以后，cisco公司就会给你发送邮件了！这个页表说明的是请查看邮件。

这时候打开我们的邮箱，就可以看见cisco公司发来的邮件了，里面就是我们刚才申请的License了从上面这个图我们可以看见VPN-DES与VPN-3DES-AES都是Enabled了。