ASA高级配置-:努力变好-51CTO博客
- 防范IP分片.gong.击
1)IP分片的原理
数据字段的长度最大为1500字节,这个数值被称为最大传送单元(Maximun Transmission Unit MTU)。不同的网络有不同的MTU值,如以太网的MTU值是1500字节,PPP链路的MTU值是296字节。
当IP数据报封装成帧时,必须符合帧格式的规定,如果IP数据报的总长度不大于MTU值,就可以直接封装成一个帧,如果IP数据报的总长度大于MTU值,就必须分片,然后将每一个分片封装成一个帧。
再分片。每一个分片都有它自己的IP首部,可以独立地走不同的路由,如果已经分片的数据报遇到了具有更小MTU的网络,则还可以再进行分片。
分片重装。IP数据报可以被源主机或在其路径上的任何路由器进行分片,然后每个分片经过路由到达目的主机,再进行重装。
2)他们的特点
独立的IP数据 报,每个分片都是独立的IP数据报,都有一个20字节的首部
3)分片相关的IP数据包字段
标识:标识两个分片后的数据包一致表示来自同一个数据包分片
标志:判断数据是否被分片,是否存在后续分片,是否时最后一个分片,第三位是1表示还有后续分片数据,第三位是0表示最后一个分片,第二位是0表示数据包允许被分片,标志决定数据包到达目标网络是否能够重组
分片偏移量:分片后的数据在原始数据包中的位置是否发生改变 - 泪滴
1)主机制造虚假的IP分片导致客户端无法收到最后一个分片,目标主机不能数据包重组导致通信失败
2)Windows XP;Windows server 2003容易遭受泪滴
3)防范泪滴
禁用IP分片,ASA允许一个数据包默认被分24次,ASA5秒内收不到最后一个分片直接丢包
4)配置ASA禁用IP分片
ASA(config)#fragment chain 1 - URL过滤
1)URL过滤的作用
限制用户不能访问特定的网站
2)URL过滤的思路
1)创建ACL抓取走URL过滤的流量
ASA(config)# access-list tcp_filter1 permit tcp tcp 192.168.10.0 255.255.255.0 192.168.40.0 255.255.255.0
2)配置URL的正则表达式
ASA(config)# regex urll ".kkgame.com"
3)配置class-map调用ACL和定义流量检查
1、创建class-map的名字是tcp_filter_class1
ASA(config)# class-map tcp_filter_class1
2、class-map调用ACL
ASA(config-cmap)# match access-list tcp_filter1
3、创建class-map名字是url_class1,类型是regex
ASA(config)# class-map type regex match-any url_class1
4、class-map调用正则表达式
ASA(config-cmap)# match regex urll
4)创建class-map检查http类型的流量
1)创建class-map检查http的类型流量
ASA(config)# class-map type inspect http http_url_class1
2)将检查http报文的首部和定义正则表达式进行匹配
ASA(config-cmap)# match request header host regex class url_class1
5)创建policy-map和class-map进行关联
1、创建policy-map名字是http_url_policy1
ASA(config)# policy-map type inspect http http_url_policy1
2、policy-map调用class-map,class-map的名字是http_url_class1
ASA(config-pmap)# class http_url_class1
3、配置匹配正则表达式的流量丢弃记录日志
ASA(config-pmap-c)# drop-connection log
6)创建policy-map将policy-map应用到接口
1、创建class-map名字是insdie_http_url_policy
ASA(config)# policy-map inside_http_url_policy
2、policy-map调用class-map,class-map的名字是tcp_filter_class1
ASA(config-pmap)# class tcp_filter_class1
3、定义检查http流量
ASA(config-pmap-c)# inspect http http_url_policy1
7)将policy-map应用到inside接口
ASA(config)# service-policy inside_http_url_policy interface inside - ASA日志安全级别范围
- 配置日志服务器
1)配置ASA所在的时区
ASA(config)#clock timezone peking 8
2)配置ASA的时间,2019年5月7日15:38分0秒
ASA(config)#clock set 15:38:00 7 may 2019
3)查看时间信息
ASA(config)#show clock - 配置日志监控
1)配置log buffer
ASA(config)#logging enable
2)启用指定的日志安全级别
ASA(config)#logging buffered informational
3)查看日志服务器的配置
ASA(config)#show logging - 将日志上传到指定的日志服务器
1)配置时间戳,从现在开始日志上传到服务器
ASA(config)#logging timestamp
2)配置向日志服务器传输日志信息为提示信息,可以传输0~7日志级别
ASA(config)#logging trap informational
3)上传到指定的日志服务器
ASA(config)#logging host inside 192.168.100.10 - ASA透明模式
1)ASA支持的模式类型
路由模式:查询路由转发数据,默认工作的默认
透明模式:简称交换模式,查询MAC地址表转发数据
2)透明模式的特点
7.0版本后开始支持透明模式
8.0以后透明模式开始支持NAT功能
透明模式的防火墙不能参与生成树选举
允许IPV4高访问低,允许ARP协议双向穿越防火墙
配置透明模式不再支持DMZ区域只能设置进和出
3)模式切换到透明模式
ASA(config)#firewall transparent
4)查看ASA防火墙工作的模式
ASA(config)#show firewall
5)配置管理IP地址
ASA(config)#ip address 192.168.100.10 255.255.255.0
6)查看MAC地址缓存表
ASA(config)#show mac-address-table
7)禁止通过inside接口学习MAC地址
ASA(config)#mac-learn inside disable
相关文章
图文推荐
