ASA高级配置

时间：2019-05-10 11:07:46 阅读：478 评论：0 收藏：0 [点我收藏+]

防范IP分片.gong.击
1）IP分片的原理
技术图片

数据字段的长度最大为1500字节，这个数值被称为最大传送单元（Maximun Transmission Unit MTU）。不同的网络有不同的MTU值，如以太网的MTU值是1500字节，PPP链路的MTU值是296字节。
当IP数据报封装成帧时，必须符合帧格式的规定，如果IP数据报的总长度不大于MTU值，就可以直接封装成一个帧，如果IP数据报的总长度大于MTU值，就必须分片，然后将每一个分片封装成一个帧。
再分片。每一个分片都有它自己的IP首部，可以独立地走不同的路由，如果已经分片的数据报遇到了具有更小MTU的网络，则还可以再进行分片。
分片重装。IP数据报可以被源主机或在其路径上的任何路由器进行分片，然后每个分片经过路由到达目的主机，再进行重装。
技术图片

2）他们的特点
独立的IP数据报，每个分片都是独立的IP数据报，都有一个20字节的首部
3）分片相关的IP数据包字段
标识：标识两个分片后的数据包一致表示来自同一个数据包分片
标志：判断数据是否被分片，是否存在后续分片，是否时最后一个分片，第三位是1表示还有后续分片数据，第三位是0表示最后一个分片，第二位是0表示数据包允许被分片，标志决定数据包到达目标网络是否能够重组
分片偏移量：分片后的数据在原始数据包中的位置是否发生改变

泪滴
1）主机制造虚假的IP分片导致客户端无法收到最后一个分片，目标主机不能数据包重组导致通信失败
2）Windows XP；Windows server 2003容易遭受泪滴
3）防范泪滴
禁用IP分片，ASA允许一个数据包默认被分24次，ASA5秒内收不到最后一个分片直接丢包
4)配置ASA禁用IP分片
ASA(config)#fragment chain 1

URL过滤
1）URL过滤的作用
限制用户不能访问特定的网站
2）URL过滤的思路
1）创建ACL抓取走URL过滤的流量
ASA(config)# access-list tcp_filter1 permit tcp tcp 192.168.10.0 255.255.255.0 192.168.40.0 255.255.255.0
2）配置URL的正则表达式
ASA(config)# regex urll ".kkgame.com"
3）配置class-map调用ACL和定义流量检查
1、创建class-map的名字是tcp_filter_class1
ASA(config)# class-map tcp_filter_class1
2、class-map调用ACL
ASA(config-cmap)# match access-list tcp_filter1
3、创建class-map名字是url_class1，类型是regex
ASA(config)# class-map type regex match-any url_class1
4、class-map调用正则表达式
ASA(config-cmap)# match regex urll
4）创建class-map检查http类型的流量
1）创建class-map检查http的类型流量
ASA(config)# class-map type inspect http http_url_class1
2）将检查http报文的首部和定义正则表达式进行匹配
ASA(config-cmap)# match request header host regex class url_class1
5）创建policy-map和class-map进行关联
1、创建policy-map名字是http_url_policy1
ASA(config)# policy-map type inspect http http_url_policy1
2、policy-map调用class-map，class-map的名字是http_url_class1
ASA(config-pmap)# class http_url_class1
3、配置匹配正则表达式的流量丢弃记录日志
ASA(config-pmap-c)# drop-connection log
6）创建policy-map将policy-map应用到接口
1、创建class-map名字是insdie_http_url_policy
ASA(config)# policy-map inside_http_url_policy
2、policy-map调用class-map，class-map的名字是tcp_filter_class1
ASA(config-pmap)# class tcp_filter_class1
3、定义检查http流量
ASA(config-pmap-c)# inspect http http_url_policy1
7）将policy-map应用到inside接口
ASA(config)# service-policy inside_http_url_policy interface inside

ASA日志安全级别范围
技术图片

配置日志服务器
1）配置ASA所在的时区
ASA（config）#clock timezone peking 8
2）配置ASA的时间，2019年5月7日15：38分0秒
ASA（config）#clock set 15:38:00 7 may 2019
3）查看时间信息
ASA（config）#show clock

配置日志监控
1）配置log buffer
ASA(config)#logging enable
2）启用指定的日志安全级别
ASA(config)#logging buffered informational
3）查看日志服务器的配置
ASA(config)#show logging

将日志上传到指定的日志服务器
1）配置时间戳，从现在开始日志上传到服务器
ASA(config)#logging timestamp
2）配置向日志服务器传输日志信息为提示信息，可以传输0~7日志级别
ASA(config)#logging trap informational
3）上传到指定的日志服务器
ASA(config)#logging host inside 192.168.100.10

ASA透明模式
1）ASA支持的模式类型
路由模式：查询路由转发数据，默认工作的默认
透明模式：简称交换模式，查询MAC地址表转发数据
2）透明模式的特点
7.0版本后开始支持透明模式
8.0以后透明模式开始支持NAT功能
透明模式的防火墙不能参与生成树选举
允许IPV4高访问低，允许ARP协议双向穿越防火墙
配置透明模式不再支持DMZ区域只能设置进和出
3）模式切换到透明模式
ASA（config）#firewall transparent
4）查看ASA防火墙工作的模式
ASA(config)#show firewall
5）配置管理IP地址
ASA（config）#ip address 192.168.100.10 255.255.255.0
6）查看MAC地址缓存表
ASA(config)#show mac-address-table
7）禁止通过inside接口学习MAC地址
ASA(config)#mac-learn inside disable

ASA高级配置

标签：直接独立限制用户时间 die 思路协议地址 buffered

原文地址：https://blog.51cto.com/14156658/2392064

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行