ASA基于用户的MPF 、高级访问控 制和地址转换_05

基于用户的MPF

username user1 password cisco 
username user2 password cisco  
!
!创建两个账号给用户认证用
 
object-group user group1  
!
!创建一个对象组
 
 user Local\user1 
!
!匹配本地数据的用户,也可以是ACS。
 
object-group user group2 
 user Local\user2 
access-list 100 extended permit tcp any any eq 80  
!
!匹配流量
 
aaa authentication match 100 inside LOCAL  
!
!只要是这些流量都做认证,认证数据库为本地
 
access-list 
filter-shrun
 permit tcp 
object-group-user 
group1 any  
any eq www  
!
!匹配流量,并且是用户1的。
 
access-list 
filter-who 
permit tcp 
object-group-user group2 any 
any  
eq www 
regex who "who"  
!
!配置正则表达式,有”who”关键字的
 
regex shrun "sh/run" 
class-map class1 
 match access-list 
filter-shrun
  
!!
匹配流量
 
class-map class2 
 match access-list filter-who 
policy-map type inspect http policy-map1 
!! 
注意,这是5-7层
 
 parameters 
 match request uri regex shrun  
!
!当这个流量中,有正则表达式里的关键字时
  drop-connection log  
!
!丢弃并且做log 
policy-map type inspect http policy-map2 
 parameters 
 match request uri regex who 
  reset 
policy-map global_policy 
class class1 
  inspect http policy-map1   
!!
深度过滤
 
 class class2 
  inspect http policy-map2

Botnet Traffic Filter

ASDM自行添加即可

NAT

Object NAT:只能转换源或目的IP

Twice NAT:在满足策略下转换源和目IP

静态(常用于指定服务器对外端口转换),PAT(动态地址加端口转换),identity NAT(旁路部分地址)

一个网段转换一个地址范围

配置动态NAT
object network innet
 subnet 192.168.17.0 255.255.255.0
object network outnet
 range 192.168.16.60 192.168.16.70
 
object network innet
 nat (inside,outside) dynamic outnet

  
查看
ASA(config)# show xlate
1 in use, 1 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net
NAT from inside:192.168.17.100 to outside:192.168.16.65 flags i idle 0:01:03 timeout 3:00:00

ASA(config)# show running-config nat
!
object network innet
 nat (inside,outside) dynamic outnet

ASA(config)# show running-config object network 
object network innet
 subnet 192.168.17.0 255.255.255.0
object network outnet
 range 192.168.16.60 192.168.16.70

ASA(config)# show running-config timeout 
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
..

更改nat超时时间
ASA(config)# timeout xlate 1:0:0

清除转换表
ASA(config)# clear xlate

静态nat

把动态的  object中的网段范围换成host    再改静态就可以了

一个范围转换一个地址不同端口

PAT
!
object network innet
 nat (inside,DMZ) dynamic 192.168.12.110    //直接指向一个地址即可
 
ASA# show xlate 
1 in use, 2 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net

TCP PAT from inside:192.168.17.100/49526 to DMZ:192.168.12.110/49526 flags ri idle 0:01:15 timeout 0:00:30

先动态转换,地址池用尽再切换PAT

object network outpool
 range 192.168.16.119 192.168.16.120
object network innet
 subnet 7.7.7.0 255.255.255.0

 !
object network innet
 nat (inside,outside) dynamic outpool interface    //若地址池用尽就用接口的ip做pat

ASA# show x
4 in use, 4 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net

ICMP PAT from inside:7.7.7.1/14 to DMZ:192.168.12.139/14 flags ri idle 0:00:04 timeout 0:00:30
NAT from inside:7.7.7.3 to DMZ:192.168.12.119 flags i idle 0:00:08 timeout 1:00:00
NAT from inside:7.7.7.2 to DMZ:192.168.12.120 flags i idle 0:00:06 timeout 1:00:00
ICMP PAT from inside:7.7.7.7/15 to DMZ:192.168.12.139/15 flags ri idle 0:00:01 timeout 0:00:30

PAT地址池

nat (inside,DMZ) dynamic pat-pool dmzpool round-robin

动态转换到dmzpool里的地址的不同端口 round-robin表示轮询地址池里的地址
ASA(config-network-object)# show x
4 in use, 4 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net

ICMP PAT from inside:7.7.7.1/22 to DMZ:192.168.12.119/22 flags ri idle 0:00:03 timeout 0:00:30
ICMP PAT from inside:7.7.7.3/20 to DMZ:192.168.12.119/20 flags ri idle 0:00:07 timeout 0:00:30
ICMP PAT from inside:7.7.7.2/21 to DMZ:192.168.12.120/21 flags ri idle 0:00:05 timeout 0:00:30
ICMP PAT from inside:7.7.7.7/23 to DMZ:192.168.12.120/23 flags ri idle 0:00:01 timeout 0:00:30

静态PAT

object network DMZ_Web_Server
 host 192.168.12.100
 nat (DMZ,outside) static interface service tcp www www    // ftp 2121 等等
         //注: 有这句,能访问192.168.16.139,但不能访问192.168.12.100
                没有这句,能访问192.168.12.100
 
access-list out-dmz extended permit tcp any object DMZ_Web_Server eq www   
                                 
access-group out-dmz in interface outside
ASA(config-network-object)# show x
1 in use, 4 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net
TCP PAT from DMZ:192.168.12.100 80-80 to outside:192.168.16.139 80-80
    flags sr idle 0:02:40 timeout 0:00:00

outside 口抓包:

dmz口抓包:

Static NAT DNS Rewrite

注:在ASA上必须激活DNS inspection

object network Inside-Web-Server
host 10.1.1.101
object network Inside-Web-Server
nat (Inside,Outside) static 202.100.1.101 dns

篡改dns解析的地址,内网访问www.cisco.com实际上是访问内网的一台web服务器

Dynamic Identity NAT

  1. Dynamic Identity NAT转换本地地址到相同的地址,到低安全级别的接口。(只能高到低)
  2. Outbound流量会在转换表中产生一个临时的转换槽位。

Static Identity NAT

同上,不过是永久表项

Twice Nat

只有源目符合的才会被匹配转换,

若只从object nat 中旁路一些数据包(由此可见,twice nat 默认优先 object nat),可以把转换前后设置一致,类似identity nat,当然也可以设置其他(如vpn配置)

object network dst-1
 host 1.1.1.1
object network dst-202
 host 202.100.1.1
object network pat-1
 host 202.100.1.101
object network pat-2
 host 202.100.1.102
object network Inside-Network
 subnet 10.1.1.0 255.255.255.0
object service telnet23
 service tcp destination eq telnet
object service telnet3032
 service tcp destination eq 3032
 
nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23
nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202 service telnet3032 telnet3032

Network Object NAT和Twice NAT的主要区别

object nat:nat是object的一个参数,实体为object,可以方便的被用于调用(如:ACL),只能改源或目

twice nat:object是nat的一个参数,可以添加自定义的object(或group),扩展性强,可以同时改源目

nat顺序

优先级一:

Twice NAT 敲入的顺序

Twice可以随意调整顺序
优先级二: Object NAT
    静态转换优先于动态转换
    如果类型相同,按照如下方式排序
    1.地址范围
    2.IP地址数字大小
    4.Object名字排序

        192.168.1.1/32 (static)        
        10.1.1.0/24 (static)
        192.168.1.0/24 (static)
        172.16.1.0/24 (dynamic) (object abc)
        172.16.1.0/24 (dynamic) (object def)
        192.168.1.0/24 (dynamic

优先级三: Twice NAT
    after-auto

更改排序

默认twice nat优先object nat,当在twice nat加after-auto参数,就会放在object nat之后

nat (Inside,Outside) after-auto source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23

后敲的twice nat要排在前面,需要加 1

nat (Inside,Outside) 1 source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23
时间: 2024-10-14 20:58:46

ASA基于用户的MPF 、高级访问控 制和地址转换_05的相关文章

FrameWork数据权限浅析2之基于用户级别的中间表机制实现行级数据安全

在上一篇笔记中我已经说了如何利用FM自带的机制配合我们已经通过验证的用户空间的组来实现行级数据安全的控制,但是由于上一个方法存在的缺点是以后如果对该对象增加基于用户或者角色的访问权限就需要开发人员去FM模型添加操作,这样就大大的增加了我们系统的维护成本,下面我们就来说一下另外一种方法:基于用户级别的中间表机制实现行级数据安全 ps:这种方法命名只是笔者的一种定义说法,属个人想法而已,各位千万不要拿来铭记,重要的是过程,至于名字,就让他随风飘吧. 下面我们就走入正题,如何利用基于用户级别的中间表机

基于ASA防火墙的NAT地址转换和SSH远程登录实验

实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址.然后客户端使用本地的一个回环网卡进行连接. 实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接. 首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了. 在R3路由器上需要做IP地址的配置,以及一条默认路由就OK了. 下面是设置启用防火墙的配置文件.

httpd 基于用户的访问控制的配置

当我们在网站的某些特定目录放置了比较私密的信息,而又只想提供给我们信任的指定用户访问,这时就需要使用httpd的基于用户访问控制,其能帮你实现只有通过认证的用户才能被允许访问特定的资源,从而大大提高了网站的安全性. 一.httpd基于用户的访问控制简介 基于用户的访问控制包含认证和授权两个过程:        认证(Authentication)是指识别用户身份的过程        授权(Authorization)是允许特定用户访问特定区域信息的过程. Apache的认证包含基本认证(Basi

Asp.net Mvc4 基于Authorize实现的模块访问权限

在MVC中,我们可以通过在action或者controller上设置Authorize[Role="xxx"] 的方式来设置用户对action的访问权限.显然,这样并不能满足我们的需求, 对于一般的MVC系统来说,如果我们定义一个controller来处理一个模块的话,我们大致有以下需求: 一,单个action的访问权限.如果删除,列表action 二,一个action两种权限,如edit(int? id)如果id为null则添加,或者修改 三,在此cotroller验证其它模块权限,

httpd基于用户的站点访问控制

基于用户或组进行认证 一.各字段参数 Options:开启的功能 AllowOverride:是否开启认证 AuthType:认证模式 Basic:基本认证,明文传送,较常用 digest:摘要认证,密文传送,一些浏览器不支持 AuthName:显示的认证信息 AuthBasicProvider:认证的类型,默认为基于file文件进行认证 file:文本文件认证 dbm:数据库引擎认证,并提供API接口 还有ldap认证与Sql数据库认证等方式 AuthUserFile:认证文件路径 AuthG

Stimulsoft Reports Designer.Silverlight是一个基于web的报表设计器控件

Stimulsoft Reports Designer.Silverlight是一个基于web的报表设计器控件,通过使用它您可以直接在web浏览器中更改您的报表控件.该产品使用Silverlight技术和ASP.NET开发.它不需要开发人员编写复杂的代码或很长的组件设置.您在服务器上使用的是一个简单的ASP.NET组件.Silverlight组件在客户端上运行.Stimulsoft Reports Designer.Silverlight拥有一个时尚的用户界面,加载迅速,运行速度快,并拥有丰富的

iSCSI之基于用户的认证及基于配置文件创建iSCSI

承接上文 ->http://11107124.blog.51cto.com/11097124/1884645 被之前discovery的target信息会保存在此(discovery 的数据库) [[email protected] mnt]# cd /var/lib/iscsi/ [[email protected] iscsi]# ls ifaces  isns  nodes  send_targets  slp  static [[email protected] iscsi]# ls s

httpd虚拟主机配置及基于用户的访问控制

本文旨在实践httpd虚拟主机及基于用户的访问控制 知识储备 虚拟主机有三种实现方案: 基于ip: 为每个虚拟主机准备至少一个独有ip地址: 基于port: 为每个虚拟主机使用至少一个独有的port: 基于FQDN: 为每个虚拟主机使用至少一个FQDN: 注意:一般虚拟机不要与中心主机混用:因此,要使用虚拟主机,得先禁用'main'主机: 禁用方法:注释中心主机的DocumentRoot指令即可: 基于用户的访问控制: http协议认证方式2种 basic:明文 digest:消息摘要认证 本次

基于用户电影评价的分析预测

故事背景 在我们的日常生活中,人们已经习惯了看电影.但是,每个人的偏好是不同的,有的人可能喜欢战争片,有人可能更喜欢艺术片,而有的人则可能喜欢爱情片,等等.现在,我们收集了一些的客户和电影的相关信息,目的是找出客户对特定影片的评分,从而预测出客户有可能喜爱的电影并推荐给客户.本次的大数据处理,使用了单词统计.基于用户的协同过滤算法等. 分析预测技术 分析工具:基于Hadoop的MapReduce 数据预处理:利用单词统计将一部分重复的.无用的数据过滤掉 算法:基于用户的协同过滤算法 数据可视化: