码迷,mamicode.com
首页 > 其他好文 > 详细

11-思科防火墙:MPF基本状态监控特性

时间:2018-07-07 20:22:53      阅读:486      评论:0      收藏:0      [点我收藏+]

标签:比较   gre   tsp   原因   length   rip   end   access   增加   

一、实验拓扑:
技术分享图片
二、实验要求:
ICMP默认是没有监控的,所以R2 Ping R1不通(注意:R1、R2分别有默认路由下一跳为对应的ASA接口地址);
原因:有很多原因,R1开启Debug,查看Ping包是否可以到达R1;
能到达说明ASA没有监控ICMP,没有状态化信息;TCP默认是监控的,有状态化信息,记录源目IP、源目端口等这些信息,形成映射,所以回包的时候会对比这些映射信息,符合就放行了。ICMP这里流量出去的时候ASA没有记录状态化信息,没有形成映射,所以回包的时候没法对比,没法对比就丢掉了。(面试出场概率很高的)
这种情况是可以调整的,做一个例外,这样ASA就会监控ICMP了。
三、命令部署:
1、ASA上查看默认策略:
ASA# show run
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
TCP和UDP是例外的,不在该范围之内的;ftp是动态应用,虽然有TCP的22、23端口,但是它的流量都是临时产生的;FTP必须有用户名和密码的登录;这就是动态的交互,也就是TCP上有特殊字段会被标记的,标记部分没有告知ASA放行的话,ASA是不识别的,所以FTP比较特殊,这里仍让能看到FTP的检测。
默认不能写Inspect gre/esp,但是Inspect icmp是有的。
2、默认列表里有的,直接添加就可以,比如ICMP:
ASA(config)# policy-map global_policy //默认ASA有的global_policy
ASA(config-pmap)# class inspection_default //默认监控
ASA(config-pmap-c)# inspect icmp //增加icmp监控

3、默认列表没有的,创建一个就可以,比如增加对GRE的监控:
ASA(config)# access-list gre permit gre any any //ACL名字为gre,抓取gre流量

ASA(config)# class-map aa //class-map名字为aa
ASA(config-cmap)# match access-list gre //匹配access-list gre流量

ASA(config)# policy-map bb //policy-map名字为bb
ASA(config-pmap)# class aa //匹配名字为aa的class
ASA(config-pmap-c)# inspect ipsec-pass-thru //开启检测

ASA(config-pmap)# service-policy bb interface inside//在接口下应用,一个接口只能应用一个,和ACL类似,所以应用多个会报错的
四、验证:
1、R2的Ping可以到达R1,并且R1可以发送Echo Reply:
R1#debug ip icmp
ICMP packet debugging is on
R1#
*Mar 1 00:56:26.931: ICMP: echo reply sent, src 202.100.1.1, dst 10.1.1.2
2、在policy-map global_policy添加监控ICMP后:R2 可以Ping通R1
R2#ping 202.100.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.1.1, timeout is 2 seconds:!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/52/84 ms
3、再次查看Policy-map,会看到增加很多东西:
ASA(config)# show run policy-map
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map bb
class aa
inspect ipsec-pass-thru
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
!

11-思科防火墙:MPF基本状态监控特性

标签:比较   gre   tsp   原因   length   rip   end   access   增加   

原文地址:http://blog.51cto.com/13856092/2138597
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!