ASA高级配置

  • 防范IP分片.gong.击
    1)IP分片的原理

    数据字段的长度最大为1500字节,这个数值被称为最大传送单元(Maximun Transmission Unit MTU)。不同的网络有不同的MTU值,如以太网的MTU值是1500字节,PPP链路的MTU值是296字节。
    当IP数据报封装成帧时,必须符合帧格式的规定,如果IP数据报的总长度不大于MTU值,就可以直接封装成一个帧,如果IP数据报的总长度大于MTU值,就必须分片,然后将每一个分片封装成一个帧。
    再分片。每一个分片都有它自己的IP首部,可以独立地走不同的路由,如果已经分片的数据报遇到了具有更小MTU的网络,则还可以再进行分片。
    分片重装。IP数据报可以被源主机或在其路径上的任何路由器进行分片,然后每个分片经过路由到达目的主机,再进行重装。


    2)他们的特点
    独立的IP数据 报,每个分片都是独立的IP数据报,都有一个20字节的首部
    3)分片相关的IP数据包字段
    标识:标识两个分片后的数据包一致表示来自同一个数据包分片
    标志:判断数据是否被分片,是否存在后续分片,是否时最后一个分片,第三位是1表示还有后续分片数据,第三位是0表示最后一个分片,第二位是0表示数据包允许被分片,标志决定数据包到达目标网络是否能够重组
    分片偏移量:分片后的数据在原始数据包中的位置是否发生改变
  • 泪滴
    1)
    主机制造虚假的IP分片导致客户端无法收到最后一个分片,目标主机不能数据包重组导致通信失败
    2)Windows XP;Windows server 2003容易遭受泪滴
    3)防范泪滴

    禁用IP分片,ASA允许一个数据包默认被分24次,ASA5秒内收不到最后一个分片直接丢包
    4)配置ASA禁用IP分片
    ASA(config)#fragment chain 1
  • URL过滤
    1)URL过滤的作用
    限制用户不能访问特定的网站
    2)URL过滤的思路
    1)创建ACL抓取走URL过滤的流量
    ASA(config)# access-list tcp_filter1 permit tcp tcp 192.168.10.0 255.255.255.0 192.168.40.0 255.255.255.0
    2)配置URL的正则表达式
    ASA(config)# regex urll ".kkgame.com"
    3)配置class-map调用ACL和定义流量检查
    1、创建class-map的名字是tcp_filter_class1
    ASA(config)# class-map tcp_filter_class1
    2、class-map调用ACL
    ASA(config-cmap)# match access-list tcp_filter1
    3、创建class-map名字是url_class1,类型是regex
    ASA(config)# class-map type regex match-any url_class1
    4、class-map调用正则表达式
    ASA(config-cmap)# match regex urll
    4)创建class-map检查http类型的流量
    1)创建class-map检查http的类型流量
    ASA(config)# class-map type inspect http http_url_class1
    2)将检查http报文的首部和定义正则表达式进行匹配
    ASA(config-cmap)# match request header host regex class url_class1
    5)创建policy-map和class-map进行关联
    1、创建policy-map名字是http_url_policy1
    ASA(config)# policy-map type inspect http http_url_policy1
    2、policy-map调用class-map,class-map的名字是http_url_class1
    ASA(config-pmap)# class http_url_class1
    3、配置匹配正则表达式的流量丢弃记录日志
    ASA(config-pmap-c)# drop-connection log
    6)创建policy-map将policy-map应用到接口
    1、创建class-map名字是insdie_http_url_policy
    ASA(config)# policy-map inside_http_url_policy
    2、policy-map调用class-map,class-map的名字是tcp_filter_class1
    ASA(config-pmap)# class tcp_filter_class1
    3、定义检查http流量
    ASA(config-pmap-c)# inspect http http_url_policy1
    7)将policy-map应用到inside接口
    ASA(config)# service-policy inside_http_url_policy interface inside
  • ASA日志安全级别范围
  • 配置日志服务器
    1)配置ASA所在的时区
    ASA(config)#clock timezone peking 8
    2)配置ASA的时间,2019年5月7日15:38分0秒
    ASA(config)#clock set 15:38:00 7 may 2019
    3)查看时间信息
    ASA(config)#show clock
  • 配置日志监控
    1)配置log buffer
    ASA(config)#logging enable
    2)启用指定的日志安全级别
    ASA(config)#logging buffered informational
    3)查看日志服务器的配置
    ASA(config)#show logging
  • 将日志上传到指定的日志服务器
    1)配置时间戳,从现在开始日志上传到服务器
    ASA(config)#logging timestamp
    2)配置向日志服务器传输日志信息为提示信息,可以传输0~7日志级别
    ASA(config)#logging trap informational
    3)上传到指定的日志服务器
    ASA(config)#logging host inside 192.168.100.10
  • ASA透明模式
    1)ASA支持的模式类型
    路由模式:查询路由转发数据,默认工作的默认
    透明模式:简称交换模式,查询MAC地址表转发数据
    2)透明模式的特点
    7.0版本后开始支持透明模式
    8.0以后透明模式开始支持NAT功能
    透明模式的防火墙不能参与生成树选举
    允许IPV4高访问低,允许ARP协议双向穿越防火墙
    配置透明模式不再支持DMZ区域只能设置进和出
    3)模式切换到透明模式
    ASA(config)#firewall transparent
    4)查看ASA防火墙工作的模式
    ASA(config)#show firewall
    5)配置管理IP地址
    ASA(config)#ip address 192.168.100.10 255.255.255.0
    6)查看MAC地址缓存表
    ASA(config)#show mac-address-table
    7)禁止通过inside接口学习MAC地址
    ASA(config)#mac-learn inside disable
  • 原文地址:https://blog.51cto.com/14156658/2392064

    时间: 2024-10-13 03:11:39

    ASA高级配置的相关文章

    Cisco ASA 高级配置

    Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:IP分片原理及分析. 二.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1) 创建class-map (类映射),识别传输流量. (2) 创建policy-map (策略映射),关联class-map.

    Cisco ASA 高级配置之URL过滤

    现在呢,有很多管理上网行为的软件,那么ASA作为状态化防火墙,它也可以进行管理上网行为,我们可以利用ASA防火墙iOS的特性实施URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的.实施URL过滤一般分成以下三个步骤:1.创建class-map(类映射),识别传输流量.2.创建policy-map(策略映射),关联class-map.3.应用policy-map到接口上. 配置实例: 使用下面简单的网络拓扑图,在内网主机上编辑hosts文件,添加如下记录(若是生产环境,DNS服务器等齐全

    第八章 大网高级   ASA上配置nat

    ASA上配置nat 中动态NAT实验要求: 1. 配置路由器和asa的接口地址,实现网段互通. 2. 配置动态NAT 实现R1 访问R3 3. 配置静态NAT 实现R 3访问R2. 4. 使用telnet测试,使用show xlate detail 命令查看那NAT转换表. 5. 配置路由器模拟pc,并允许telnet内网登陆 asa. 6. 配置SSH 实现R3 远程 asa. 一. 配置iP参数 二. 配置动态NAT 实现R1 访问R3 1.R1设置 2.R3设置 3.asa 设置 4. R

    防火墙(ASA)高级配置之URL过滤、日志管理、透明模式

    对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1)创建class-map(类映射),识别传输流量. (2)创建policy-map(策略映射),关联class-map. (3)应用policy-map到接口上. 案例:

    证书解析(二):windows 2012 r2证书服务安装与高级配置

    本着应用隔离的原则,建议把证书服务部署在一台独立的windows server 2012 r2虚拟机之中.证书服务器可以不用考虑高可用,因证书服务宕掉后,除了不能继续颁发证书和不能访问证书吊销信息,并不影响证书的其他验证. 证书服务的安装 证书服务的安装很简单,运行服务器管理器,添加角色与功能,选择"Active Directory证书服务", 在角色服务中选择"证书颁发机构"与"证书颁发机构WEB注册" (不是证书注册web服务)两项,证书颁发

    过滤器的高级配置

    1 2 <filter-mapping> 3 <filter-name>FilterDemo3</filter-name> 4 <url-pattern>/*</url-pattern> 5 <dispatcher>REQUEST</dispatcher> 默认情况.如果写了另外一种情况,默认的就没有了 6 <dispatcher>FORWARD</dispatcher> 7 <dispatc

    OSPF高级配置

    OSPF高级配置 n 路由重分发 路由重分发通常在那些负责从一个自治系统学习路由,然后向另一个自治系统广播的路由器上进行配置.例如:一台路由器既运行OSPF又运行RIP,如果OSPF进程被配置为通告由RIP学到的路由到OSPF自治系统中,那么这种做法就可以叫"重分发RIP". 一个单一的IP路由协议是管理网络中IP路由的首选方案.无论是从配置管理的角度还是容错管理的角度,每台路由器都被期望运行单种路由协议而不是多种路由协议.然而,显示网络的情况是存在多种路由协议的,并且这些网络要互相连

    Linux运维实战之Apache服务器的高级配置(虚拟主机、status)

    HTTP协议基础知识参考博文:http://sweetpotato.blog.51cto.com/533893/1656137 Apache2.2的基本配置参考博文:http://sweetpotato.blog.51cto.com/533893/1657668 Apache服务的配置分为三段: 1.全局配置(the 'global environment'):对主服务器或虚拟机都有效,且有些功能是服务器自身工作属性: 2.主服务器(main server):主站属性: 3.虚拟主机(Virtu

    (转载)HanLP的高级配置

    原文地址:http://www.hankcs.com/nlp/segment/full-text-retrieval-solr-integrated-hanlp-chinese-word-segmentation.html 高级配置 目前本插件支持如下基于schema.xml的配置: 配置项名称 功能 默认值 enableIndexMode 设为索引模式 true enableCustomDictionary 是否启用用户词典 true customDictionaryPath 用户词典路径(绝