ASA个人学习笔记

ASA个人学习 笔记 哲学笔记pdf明清笔记pdf政法笔记下载课堂笔记下载生物化学笔记PDF 一、ASA简介个人感觉吧，学习ASA的时候，有点难以下手。因为并不像之前那些协议的时候都是一块一块的，而且相互之间是联系在一起的，学习起来容易很多。而ASA是一个设备，接触到ASA的技术都要学，所以就会乱了，不知学哪些好。怎么样才能入门等等。在我学习了ASA之后做了此笔记，慢慢从入门开始一直到各个技术学习。1.1初始化配置开启设备这些步骤就不说啦，如果连设备都不懂开启真不必学了。直接就开始我们的配置吧interfaceGigabitEthernet0noshutdownnameifoutside!!給接口配置一个区域名字。当然可以配置另的名字，最好根据区域定制合适的名字，知名知其义。在ASA5505里是根据VLAN来配置区域名字的。security-level0！！默认除了inside区域的其它都为0ipaddress100.1.1.1255.255.255.0interfaceGigabitEthernet1noshutdownnameifinsidesecurity-level100ipaddress200.1.1.1255.255.255.0配置远程登录：telnet00inside！！这意思是开启telnet，并且允许inside区域所有的网络都可以telnet上来。也可以配置某个主机IP。注意：telnet功能只能应用在inside，outside就算开启了也没用的。SSH00outside!!开启ASA的SSH登录。在outside接口上启用。Sshve2！！SSH的版本AuthenticationsshconsoleLOCAL！！SSH认证用本地数据库Usernameadminpasswordadmin！！用户名和密码ASA个人学习笔记cryptokeygeneratersamodulus1024！！产生一对密钥用来做SSH加密用，注意：ASA默认不会产生密钥的。比如做PKI等公钥的时候也要手动创建密钥开启ASDM:httpserverenable500!!开启ASDM，后面的500是端口，默认是443.为了考虑如果在ASA中布置SSL的时候，所以修改一下ASDM的端口http0.0.0.00.0.0.0inside！！允许inside可以访问SSHusernameadminpasswordadminprivilege15！！配置用户名和密码以及用户名的等级二、访问控制在ASA的世界里，有很多地方是与路由器不一样的，很多地方学习的时候是需要注意的，就比如从INSIDE访问OUTSIDE的时候，TELNET成功连接了，可ping就是死活都不过来。这其实都是ASA本身的一些特性引起的，状态化信息检查等等。下面就由我来带领大家进入ASA吧，狠狠的进入„„2.1访问控制列表ASA上的访问控制列表其实与路由器的配置没啥区别的，道理一个样，可是在应用中会有所不同，而且功能也会有些小区别的。如下图：这命令相当于把telnet功能直接全部拒绝掉了。換个角度说，也就是不仅穿越这个路由器的telnet流量被拒绝了，而且抵达路由器的telnet流量也拒绝了。又或者当如果是内部telnet外部的时候，也一样是不行的。为什么呢？因为虽然telnet流量是可以从右往左通过，但是回来的流量则又被干掉了。所以说路由器上的访问控制列表，不仅对抵达本身的流量会干掉，也会把穿越的流量ASA个人学习笔记全部干掉。如上图，在ASA里，只会把穿越的telnet流量給拒绝掉了，但是对于抵达ASA本身的流量不关心，可以正常到达的。当如果telnet流量是从右往左的时候，会发生什么事情呢？事实是会正常能telnet成功。因为当从右往左访问telnet的时候，穿越ASA的时候，会建立一个状态的表。当ASA收到返回的流量时，因为有状态化信息表，发现这是一个返回的流量，则会正常通过，就算有ACL拒绝了。还是可以的。这就是ASA和路由器的不同之处了。总结一下：1.接口访问控制列表只能控制穿越流量。2.所有在ASA终结的流量，被不同的管理访问列表控制。3.所有由ASA发起的流量都是被允许的。访问控制列表决定哪些“新建连接”（从ACL入方向的新连接，不是返回流量）进入控制。2.2接口规则和安全级别从高安全级别到低安全级别的流量都默认是允许的。而从低安全级别到高安全级别的流量默认是全部拒绝的。所以在刚开始学的时候，很多人包括我也一样，从高安全级别telnet低安全级别的时候，成功连接了。可是換成ping的时候，却不通，这是为啥呢？那是因为防火墙是状态化的，只对TCP和UDP做状态化而已，所以ICMP不通。只要加上一条命令：access-list100permiticmpananecho-reply就可以了。ASA个人学习笔记相同安全级别的流量默认是拒绝的，需要放行才可通过：same-security-trafficpermitinter-interface相同一个接口的流量也需要明确放行：same-security-trafficpermitintra-interface还有就是，被ACL控制的流量，也需要通过放行。2.3小实验-ACL下面还是通过实验来说明一下吧，防火墙该如何做才可以正确的放行流量，以及访注意一些什么样的配置来放行流量，介绍ACL的特性以及一些高级特性等，如下图：实验需求：允许outside设备telnetinside的设备，并且inside可以ping通outside的设备。配置：只需要配置ACL流行需要的流量即可。access-list100extendedpermiticmpanyanyecho-reply！！这命令的意思是放行ICMP是返回的流量access-list100extendedpermittcp100.1.1.0255.255.255.010.1.1.0255.255.255.0eqtelnet！！放行从外到内的TELNET流量就这样配置完成了，话说是很简单的。在实际工作中，只要根据需求放行相应的流量即可，比如在VPN环境中行放ESP和ISAKMP等。2.3.1基于时间的ACL在一些工作环境中，有些时候需要特定的时间才可以访问特定的服务，这普通的ACLASA个人学习笔记明显搞不定，所以需要基于时间的ACL来搞定了。拓扑图还是如上一节的图，本实验是只允许每周一到周五可以访问内网的网站服务。配置：time-range1-to-5！！配置一个名字为“1-to-5”的时间范围periodicweekdays9:00to18:00！！配置工作日的时间access-list100permittcphost100.1.1.1host10.1.1.2eq80time-range1-to-5！！在ACL里面调上时间范围2.3.2Object-Group(对象组)对象组的作用是为了简化ACL的创建和维护工作，如果在工作中大量的的配置ACL的时候，而有些同样的网络访问同样的服务的时候，这样对象组将是个很个的工具了。配置：object-groupnetworkinside-netnetwork-objecthost1.1.1.1network-objecthost1.1.1.2network-objecthost1.1.1.3！！配置一个网络的对象组，名字为inside-net。配置内部的地址。object-groupnetworkoutside-netnetwork-objecthost100.1.1.1network-objecthost100.1.1.2network-objecthost100.1.1.3！！配置外部的地址object-groupserviceout-to-inservice-objecticmpservice-objecttcpdestinationeqtelnetservice-objectudpdestinationeqisakmpservice-objectesp！！创建一个基于服务的对象组，选择需要放行的服务协议。access-list111extendedpermitobject-groupout-to-inobject-groupoutside-netobject-groupinside-net！！应用在ACL里，注意：第一个ASA个人学习笔记对象组是服务，第二个对象组是源地址，第三个是目的地址。解析一下：上面的配置，意思是外网的三个地址可以访问内部的三个地址的四个服务，想想看，如果用ACL一条一条的来写，是一个排列组合的数字。所以对象组很好的解决了这个问题。2.3.3全局ACL全局ACL的作用是在于，全局环境中应用一个ACL。比如，我要在整个ASA环境中放行所有的ICMP流量。那可以做一个全局的ACL。而不每个接口都去配置应用了。但是需要注意的是：接口的ACL要比全局的ACL优先级更高。也就是，如果同时配置了全局的ACL，又配置了基于接口的ACL。那首先会应用接口级别的ACL。配置很简单，在ASDM里面配置，如下图：2.3.4URPF使用URPF可以有效的抵御IP地址欺骗，如下图：因为10.0.0.0/8这ASA个人学习笔记一个路由是从inside学习到的，如果当从outside收到这个路由的时候，则会丢弃。命令：ipverifyreverse-pathinterfaceoutside，就是启用这个技术的。2.3.5shunning技术Shunning技术的作用于，让某个攻击失效连接。比如，当发现网络中有某个连接是恶意进来的。所以可以用shunning技术马上使攻击者断开连接。当然可以用ACL拒绝掉，但是真的可以吗？因为连接已经建立了，而ACL只会拒绝掉初始化包而已。所以ACL目前是没效用的，当然也可以清除掉cleanconn来实现这种效果。本文只是介绍shunning技术的效果而已。命令：shun10.1.1.1！！简单的命令就可以把这个网络給禁止掉了。2.4CutThrough2.4.1CutThroughProxyCISCOASA能够为穿越的流量运用于基于用户的认证。可以配置成在用户访问资源之前需要认证，不同的用户运用不同的策略，而且还可以把相关的流量发送到审计服务器上。如果在网络中，如果用户是基于NAT出去的话，那就不好使了。因为穿越认证技术只是基于IP地址。也就是，ASA只会纪录第一个地址。因为做了NAT。那么其它的用户，只要是用这个NAT地址的，都会得到相同的策略。需要注意一下。ASA个人学习笔记当一个用户第一次访问需要被认证的资源时，ASA会要求提供用户名和密码。一个用户只需要认证一次。ASA会缓存下认证时的信息的IP地址。用户只能通过TELNET、HTTPS、HTTP和FTP的流量才能触发认证。需要注意的是，虽然做了认证，但是也要在ASA中放行相应的流量，因为如果流量都不放行，那还认个毛证咯？如下图：配置：aaa-serverACSprotocolradius!!配置三A的协议为radius。aaa-serverACS(dmz)host192.168.1.100！！指定AAA服务器的地址keycisco！！与服务器认证的密钥access-list100extendedpermittcphost10.1.1.2host100.1.1.1eq23！！抓取从inside到outside的流量aaaauthenticationmatch100insideACS！！AAA认证匹配流量，从inside区域来，送到ACS服务器去做认证。然后在outside开启Telnet功能，此时inside应该可以正常的telnet到Outside设备。ACS配置：创建AAA客户端：ASA个人学习笔记创建一个用户：至此，配置完成。测试一下：认证成功。默认的时间为5分钟，空闲时间是永不超时。可以修改：timeoutuauth1:00:00absoluteuauth00:30:00inactivityASA个人学习笔记修改过后的时间。通过上面可以看出，ASA是根据来源的地址做第一次认证的。那也可以看到其缺点了。因为第一次认证过后，就不需要再次认证，如果这个用户只用了十分钟之后工作完成了。还剩下50分钟的超时时间。则其它人就可以盗用这个IP地址来访问网络了。而且如果是一些多用户的系统中，因为也是通过一个地址的，也同样会有所不安全。2.4.2基于HTTP认证如上图，本次介绍是讲解一下基于HTTP的认证，也就是说内部用户访问OUTSIDE的HTTP服务时，需要做认证，配置方法与基于TELNET差不多。配置：aaa-serverACSprotocolradiusaaa-serverACS(dmz)host192.168.1.100keyciscoaccess-list100extendedpermittcphost10.1.1.200host100.1.1.1eqwwwaaaauthenticationmatch100insideACS测试情况：ASA个人学习笔记如上图，第一次输入的是ACS认证的用户名和密码。如下图：第二次输入的是OUTSIDE设备的HTTP访问密码：输入密码后，然后就可以成功的访问HTTP的资源了。注意：上面所讲的配置，看起来是挺好用的。但是有不好之处，那就是当与ACS认证成功之后，PC会把HTTP的请求以及用户名和密码一起发送到OUTSIDE设备上，而且是明文传送。也就是说，如果有人抓包直接可以看到内部的用户名和密码了。这是极不安全的。所以可以有三种技术解决这个问题：A．HTTP重定向。PC直接与ASA做认证阶段，成功后，PC直接把HTTP的流量重定向发送到OUTSIDE上。B．SecureHTTP。全部是基于HTTPS传送的。这样可以保证传送过程的安全。ASA个人学习笔记C．虚拟HTTP。HTTP流量首先被重定向到虚拟的HTTP地址做认证，也就是ASA上的OUTSIDE地址。认证后直接把HTTP流量重定向到最终服务器上。HTTP重定向配置：aaaauthenticationlistenerhttpinsideportwwwredirect！！AAA认证侦听把HTTP的流量重定向到inside的port为80测试如下：SecureHTTP配置：clearuauth!!清除掉用户谁认证的状态。Noaaaauthenticationlistenerhttpinsideportwwwredirectaaaauthenticationsecure-http-client！！启用AAA认证为HTTPS配置完成，然后测试步骤与上面一样，在此省略了。虚拟HTTP配置：clearuauthnoaaaauthenticationsecure-http-clientvirtualhttp100.1.1.101warning！！指定重定向的虚拟IP地址。这个是outside上的虚拟的一个IP地址access-list200extendedpermittcphost10.1.1.200host100.1.1.101eqwww！！也需要认证到虚拟IP地址的流量测试在此省略。好了，HTTP认证就此结束了。ASA个人学习笔记2.4.3虚拟TELNET首先讲一下虚拟telnet有何用处？我们知道CutThrough穿越认证只能针对四个 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 协议做流量的触发认证。分别是：HTTP、HTTPS、FTP、TELNET。可是如果当不是标准协议的时候，用户就无法去访问网络了，所以可以利用虚拟telnet来帮我们完成认证。原理就是，ASA上建立虚拟的outside全局地址作为telnet跳板，用户通过telnet这个地址来完成认证，认证通过后，用户就可以访问非标准协议的网络资源了。本次通过一个实验来说明一下：如下图：ASA配置：aaa-serverACSprotocolradiusaaa-serverACS(dmz)host192.168.1.100keyciscoaaaauthenticationmatch100insideACSvirtualtelnet100.1.1.110!!配置一个虚拟地址用来telnet用认证，这个地址是outside的一个可网络地址access-list100permittcphost10.1.1.2host100.1.1.1eq23access-list100permittcphost10.1.1.2host100.1.1.1eq3032！！这个3023是outside上的增加的一个用来telnet的地址。因为不是23了，所以就不算是标准协议，用这个来做测试。access-list100permittcphost10.1.1.2host100.1.1.110eq23！！也要放行去虚拟telnet地址的23流量。在outside设备上增加一个TELNET的端口：Linevty04ASA个人学习笔记rotary32!!这个32是基于3000相加上去的，所以是3032然后在ACS上配置AAA和用户名，在此省略配置步骤，可参考上一实验。测试结果：先telnet虚拟IP地址，做认证，成功后，再直接访问inside的设备的3032端口就可以了。无需再次认证。这样子，就可以为不是标准协议的服务做通行了。2.5授权上一章节讲到了认证，认证只是能判定用户是否能穿越过ASA而已，如果能穿越过了，那就可以正常访问了。但是并不能授权用户只能访问哪些资源，控制用户应用哪些资源等。本章 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 将讲解如何利用授权控制用户特定的访问哪些网络资源等。本章用一个实验来说明一下。最常用的就是基于用户下载一个ACL来允许特定的授权。所以平常也叫DACL。如下图：当inside用一个用户名的时候，ACS会下载一个ACL給inside,只允许用记一ping通outside。而当用用记二认证的时候，则只能telnetoutside。当然认证过程还是通过虚拟telnet来认证。来来来，容我介绍如何配置：ASA配置：aaa-serverACSprotocolradiusaaa-serverACS(dmz)host192.168.1.100keyciscoASA个人学习笔记virtualtelnet100.1.1.110access-list100permiticmpanyanyaccess-group100ininterfaceoutside！！最初肯定是可以ping通的.access-list111permittcphost10.1.1.200host100.1.1.100eq23access-list111permittcp10.1.1.0255.255.255.0192.168.1.0255.255.255.0eqhttpsaccess-list111permittcphost10.1.1.200host100.1.1.110eq23access-group111ininterfaceinsideper-user-override!!下载的ACL覆盖现在的ACL，如果不加这个命令，那都是白做了，因为接口ACL优先嘛。access-listauthen-23permittcphost10.1.1.200host100.1.1.110eq23！！只抓取认证的流量。aaaauthenticationmatchauthen-23insideACS！！对流量做认证。ACS配置：1.创建两个用户名：user1和user22.创建两个Group：Group1和Group2。因为工作中肯定是按照部门来做策略的，不会按照用户吧？除非是一些闲得没事干的网管了。把用户放到组里边。3.创建授权ACL：ASA个人学习笔记4.授权与ACL关联上：5.定义授权关系：创建两个规则ASA个人学习笔记把组和授权关系起来：至此。配置完成，测试一下：ASA个人学习笔记由此可以看出，授权已经成功。实验完成。三、MPFMPF（ModularPolicyFramework）模块化策略 框架 财政支出绩效评价指标框架幼儿园园本课程框架学校德育工作框架世界古代史知识框架质量保证体系框架图 ，有点类似于路由器里的MQC一样。但是MQC只是配置QOS而已。而在ASA里就可以配置很多东西。但是QOS肯定没有在路由器里好。3.1基本MPF介绍CISCOMPF在运用网络策略到流量时，提供了更多的灵活性。A．不仅仅通过ACL来定义需要做访问控制的流量，可以用class-mapB．关联流量到网络策略，policy-mapC．在接口或全局下激活调用网络策略，service-policyMPF可以把流量发送到防病毒模块进行 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 ，可以做语音的QOS转发，可以只允许某些HTTP链接通过，可以做数据防丢失（不允许内部的数据往外发送）。ASA个人学习笔记3.1.1MPF组成部分MPF可以划分为三大部分:A.OSI3到4层Classmap:匹配3到4层的流量B.OSI5至7层Classmap:匹配5到7层的流量C.OSI3到4层policymap:定义3到4层的流量的策略D.OSI3到4层Policymap:定义5到4层的流量的策略。E.在接口或全局下应用policymap。也就是service-map3.1.2Class-map（3-4层）Class-map主要作用是匹配相应的流量。配置也很简单，全局命令下：class-map+名字就可以了。然后match相应的流量。但有一个需要注意的，那就是flow关键字。这个必须前提要配置match上tunnelgroup，因为flow是为了某个VPN中的流而定的。3.1.3Policy-map（3-4层）Policy-map主要是对上面的Class-map的流量做出相应的策略。关联上相应的的CLASS-MAP，就可以做QOS等等的策略了。其实和路由器里的QOS配置都一个样。比如可以做监控、高级连接设置等。A．一个POLICY-MAP可以关联多个class-map。B．一个策略包含一个class-map和它所关联的行为。C.在一个policy-map中，一个行为类型，一个数据包只匹配一个class-map。也就是说：在一个policy下面匹配了3个class-map，分别是做QOS、inspect和QOS，所有class-map都能匹配，那么数据包过来只会匹配前两个。因为第三个也是QOS，所以只会匹配一种行为类型的。D．状态化处理的数据包，仅仅只会匹配上第一个策略，就算在多个接口上都应用了policy-map。也就是：在入接口时如果已经匹配了policy-map,那么在出接口的policy-map就不应用了。状态化处理。ASA个人学习笔记E．在一个policy-map中，行为处理的优先顺序：QOS入方向流量的policing高级连接设置CSC-SSM运用层监控AIP-SSMQOS出方向流量的policingQOS优先级队列QOS流量shaping（整形）。也就是说：如果一个数据过来，有多个class-map都能匹配，那么首先会做QOS入方向流量的policing，然后再做高级连接，一直这么顺序下去。3.1.4Service-PolicyA.可以运用一个service-policy到接口上或者全局。但是不建议应用在全局上，因为ASA上默认就已经有一个SERVICE-POLICY存在了。B.策略的方向基于policy-map的应用：1.基于接口的应用：归类和行为都被应用到出和入两个方向，但有例外。2.基于全局下：归类和行为只应用到接口的入方向。但有例外。3.例外：policing（管制）,由配置决定是在入方向还是在出方向做。而shaping（整形）和priority（优先）只能应用在出方向。3.2MPF对网管流量的控制之前我们学过的访问控制，只能控制穿越ASA的流量，不能控制抵达ASA的流量，而如果要控制一些网管流量也只是一些比如telnet什么之类的，但是也控制不了太多的功能。本章将运用MPF对抵达ASA的网管流量进行控制。如下图：ASA只允许抵达设备本身的telnet连接数只有一个。看配置：ASA个人学习笔记ASA配置：class-maptypemanagementtelnet-1!!注意class-map类型是管理。名字为telnet-1matchporttcpeqtelnet！！匹配TCP端口为23policy-maptelnet-policy！！配置一个policy-map。classtelnet-1！！调用上面创建的class-mapsetconnectionconn-max1！！策略为：最大连接数1service-policytelnet-policyinterfaceinside!!应用在接口上telnet00inside测试：第一个能成功telnet上ASA第二个无法telnet：3.3MPF监控特性3.3.1基本状态监控ASA默认只对TCP/UDP的流量进行状态化监控，換言之，从高安全区域到低安全区域的TCP/UDP流量默认都是可以返回的，比如telnet的时候吧。而如果实际工作中，如果想为其它的流量进行监控的话，那可以通过添加监控就可以了。默认中，除了TCP/UDP流量都是被禁止的了。本章通过一个实验来说明如何配置，实验是监控ICMP和ESP流量。如下图：ASA个人学习笔记配置ICMP监控：policy-mapglobal_policy！！直接通过系统本身的默认策略就可以了，前提是class-map里的{matchdefault-inspection-traffic}命令里必须包含的协议才可以。ICMP是有的，只是默认不对其监控classinspection_defaultinspecticmp!!监控ICMP基本上大多数都可以这么配置监控的，但也可以通过自己定义的策略来进行监控。原理都是一样的。但是，有些是特别的，比如ESP。因为在系统默认里的default-inspection-traffic没有ESP这个。所以在policy-map里配置上监控ESP也是不行的。我们可以通过配置一条ACL来匹配住ESP流量，这样就可以很好的解决了。access-listESPextendedpermitespanyany！！定义一个ACL，匹配所有的ESP流量。class-mapinspection_defaultmatchaccess-listESP！！匹配ACLmatchdefault-inspection-trafficpolicy-mapglobal_policyclassinspection_defaultinspectipsec-pass-thru！！在系统默认的策略里监控,IPSEC流量穿越ipsec-pass-thru当然，如果是配置IPSEC的时候，最好也弄一下isakmp流量的。至此配置就完成了。还是比较简单的。ASA个人学习笔记3.3.2会话超时网络如果出现TCP连接关闭，或者闲置时间已经超时等。会话正常情况下会从连接状态表中删除。但是，当网络中如果有某些特殊应用，采用系统默认的超时会影响正常运行的话，就可以进行配置修改超时时间，系统默认的超时时间如下：本次通过一实验来说明一下如何修改telnet连接的时间。默认是一小时超时，并且采用DCD技术，死亡连接检测。ASA会向两边TCP发送探测包，如果两边有回应的话，则认为两边是没有问题的，反之没有TCP反应了，ASA就会把TCP清除掉。如下图：实验中insidettelnetoutside默认闲置时间为1小时，但是现在的要求是，我的telnet会话两小时就操作一次，不能断开连接。所以把闲置时间改为两小时。ASA配置：access-list100permitiphost10.1.1.2host100.1.1.0!!先抓取流量class-mapin-to-outmatchaccess-list100policy-mapshen-policyASA个人学习笔记classin-to-outsetconnectiontimeoutidle2:00:00resetdcd0:05:003！！设置闲置时间为2小时，并且开启DCD技术。Reset（重置）的作用：每5分钟发送一次探测包，连接3次没有回复，则ASA充当源发送一个reset給对方。3.3.3ASA对TTL的处理ASA在网络中充当一个安全，对于traceroute的流量到达ASA的时候，ASA不会减去TTL值，毕竟不希望网络中发现中间有个ASA的存在。但是，TTL值是为了防环的，某些情况下，也许不是一个好事。所以可以在ASA中启用TTL减去功能。如下图：默认是不会减去TTL值的。如上图证明了ASA是不减去TTL值的。ASA配置：access-listTTLextendedpermitudpanyanygt33433！！用ACL匹配住UDP大于33433端口的流量，因为traceroute的流量是UDP端口号为33434以上的流量。同时也应用于class-map里匹配。只对tracetour的流量进行TTL减。access-groupTTLininterfaceoutside！！放行流量ASA个人学习笔记class-mapttl-trmatchaccess-listTTL！！匹配traceroute的流量policy-mappolicy-ttlclassttl-trsetconnectiondecrement-ttl！！设置连接TTL值减去。service-policypolicy-ttlinterfaceoutside！！应用在接口上，也可以应用在系统默认中的全局列表测试：3.3.4ASA对IP分片的处理ASA执行虚拟IP重组装，缓存一个数据包的所有分片，直到所有分片被收齐。确认分片被适当的切分。重组装IP分片，并对其进行规范化和运用层监控处理，发送分片过程和收到一样的。发送到ASA的都是分片过来的。但是如果ASA要对数据监控，那就需要把分片在ASA里重组装起来才能进行监控。命令配置：fragmentsize1000outside！！对1000个包做缓存，如果超出1000个包还来，则全干掉。fragmentchain100outside！！一个包最多能分100片，如果超出100，则干掉fragmenttimeout10outside！！只能在10秒内组装完毕，不然也干掉ASA个人学习笔记3.4MPFTCP规范化技术简介A．确认遵循TCP协议，并且阻止逃避攻击。B．默认情况下，只是允许最小的TCP特性。C．执行TCP初始化序列号扰乱以保护内部主机。D．为应用层监控提供对字节流的重组装。3.4.1密钥认证BGP穿越ASA问题BGP如果没有做认证，即使ASA在中间也是没问题。可一旦加上了密钥认证，那么问题来了。肯定起不来邻居。为什么呢？上面我们讲到，MPFTCP会扰乱序列号。可是BGP发送包到ASA的时候。ASA就会扰乱序列号，那么到了接收方，由于序列号不一样，哈希值必须不一样啊，所以肯定不会建立起来的。这是其一。还有还会有另一个问题，那就是ASA会把TCP的19选项給过滤掉了。我们通过实验来实认这一过程吧，如下图：Outside配置：outerbgp101nosynchronizationneighbor10.1.1.2remote-as102neighbor10.1.1.2passwordcisconeighbor10.1.1.2ebgp-multihop255inside配置：routerbgp102nosynchronizationneighbor100.1.1.1remote-as101ASA个人学习笔记neighbor100.1.1.1passwordcisconeighbor100.1.1.1ebgp-multihop255outside设备一直提示，没有MD5摘要从BGP邻居到本设备。抓inside发出的包查看：发现从内部到外部的包，MD5的TCP选项类型为19。再抓包outside接收到的包，发现原本MD5的选项19已经不见了。只剩下一堆类型为1的无任何操作的。很明显，ASA已经把TCP选项19給干掉了。既然现在已经知道了问题的所在之处。那就好办了。ASA个人学习笔记ASA配置：class-mapclass1matchporttcpeqbgp!!匹配住BGP的流量。tcp-maptcp-19！！创建一个TCP的MAP。用来抓取TCP的流量tcp-optionsrange1919allow！！把19选项的允许policy-mapglobal_policyclassclass1setconnectionrandom-sequence-numberdisable！！把扰乱序列号給禁止掉setconnectionadvanced-optionstcp-19！！并且调用TCP的MAP。测试一下，看到下面这个，瞬间兴奋起来了3.5MPF支持动态运用协议动态运用协议就是那些在默认的传输层端口内，协商额外会话的协议。FTP就是一个非常典型的实例。ASA默认嗅探很多动态运用协议，并且自动放行后续会话，ACL只需放行初始化会话。FTP有第一信道第二信道，第二信道是动态协商的。3.5.1FTP原理一个完整的FTP文件传输需要建立两种类型的连接，一种为文件传输下命令，称为控制连接，另一种实现真正的文件传输，称为数据连接。1)控制连接客户端希望与FTP服务器建立上传下载的数据传输时，它首先向服务器的TCP21端口发起一个建立连接的请求，FTP服务器接受来自客户端的请求，完成连接的建立过程，这样的连接就称为FTP控制连接。主要用来登录，认证用的。2)数据连接ASA个人学习笔记FTP控制连接建立之后，即可开始传输文件，传输文件的连接称为FTP数据连接。FTP数据连接就是FTP传输数据的过程，它有两种传输模式：主动传输模式（Active）和被动传输模式（PASSIVE）。1.主动传输模式当FTP的控制连接建立，客户提出目录列表、传输文件时，客户端发出PORT命令与服务器进行协商，FTP服务器使用一个标准端口20作为服务器端的数据连接端口（ftp-data），与客户建立数据连接。端口20只用于连接源地址是服务器端的情况，并且端口20没有监听进程来监听客户请求。在主动传输模式下，FTP的数据连接和控制连接方向相反，由服务器向客户端发起一个用于数据传输的连接。客户端的连接端口由服务器端和客户端通过协商确定。主动传输模式下，FTP服务器使用20端口与客户端的暂时端口进行连接，并传输数据，客户端只是处于接收状态。也就是说：客户总是主动向服务器发起连接，源地址是自己，源端口是随机端口，目的是服务器地址，端口是21.经过三次握手之后，就可以登录到FTP看到目录了。2.被动传输模式当FTP的控制连接建立，客户提出目录列表、传输文件时，客户端发送PASV命令使服务器处于被动传输模式，FTP服务器等待客户与其联系。FTP服务器在非20端口的其它数据传输端口上监听客户请求。在被动传输模式下，FTP的数据连接和控制连接方向一致，由客户端向服务器发起一个用于数据传输的连接。客户端的连接端口是发起该数据连接请求时使用的端口。当FTP客户在防火墙之外访问FTP服务器时，需要使用被动传输模式。被动传输模式下，FTP服务器打开一个暂态端口等待客户端对其进行连接，并传输数据，服务器并不参与数据的主动传输，只是被动接受。好了。讲了一大堆废话鬼都看不懂，还是以一个实验来解释一下最爽。如下图：ASA个人学习笔记本次实验的FTP端口改为2121，既然不是21的流量了，那么ASA就不会对其监控了，不监控的话，第二信道肯定无法建立起来的。配置：access-list100permittcphost100.1.1.200host10.1.1.100eq2121access-group100ininterfaceoutside！！放行第一信道的流量class-mapclass1matchporttcpeq2121policy-mapglobal_policyclassclass1inspectftp!!监控第二信道的流量，这样TFP才可以完整的通信配置就是这么简单滴。记住。单单第一信道建立起来还是不行的，因为第二信道还是传输数据的。3.5.2HTTP之URL过滤ASA可以根据某一些不受信任的网站进行过滤，也就是说把一些需要放行的URL进行监控，如果不受监控的则丢弃，以实行达到过滤的效果。ASA有两种过滤方式，一种就是外挂一个第三方设备，比如WEBSENCE。另一种方法就是在ASA上直接做过滤。一般不建议在ASA上过滤去ISP的URL，毕竟有大量的URL。建议过滤内部网络的URL。比如不允许某主机访问服务器的某些内容。如下图：ASA个人学习笔记ASA配置：regexshrun"sh/run"！！配置正则表达式，名字为shrun，匹配内容是sh/run,这个是在URL上出现的字段。regexwwwciscowww.cisco.com！！匹配URL主机名class-maptypeinspecthttpmatch-allclass1！！这就是5-6层的class-map，注意，这是匹配全部，也就是以下两个条件同时满足才有效。matchrequestheaderhostregexwwwcisco!!匹配请求头部主机，调用正则表达式，只要是www.cisco.com都匹配。matchnotrequesturiregexshrun！！除了uri里面有sh/run的除外的流量policy-maptypeinspecthttppolicy-map1!!5-6层的policy-map.Parameters!!参数protocol-violationactionreset！！当协议非标准时，动作为重置。classclass1！！调用class-mapresetlog!!只要是匹配了的都重置，也就是不通过咯。policy-mapglobal_policy！！进入系统默认策略。因为不能调用在接口。classinspection_defaultinspecthttppolicy-map1！！监控http后面调用策略，这个是深度过滤解释一下上面的命令。看着看着有点乱的了。首先是利用正则表达式匹配两个关键点。一个是包含有www.cisco.com的，一个是包含有sh/run的。然后创建一个5-7层的class-map并且是http流量的，然后匹配1个正则表达式为请求头部和主机的（HTTP的格式）中有www.cisco.com，再匹配另一个正则表达式为除了包含有sh/run的url。也就是这个class-map匹配的是http流量里有ASA个人学习笔记www.cisco.com和除了有sh/run的所有流量。再做一个策略，当有违规的协议时就重置，以及有上面的流量时也重置，最后再调用在全局里。最后的结果就是，只要url中有www.cisco.com的流量都丢弃，除非有一个sh/run的关键字则可以正常通过以及其它的url都可以。测试正常：通过上面的测试，可以看到。能正常的把url給过滤掉了。但是不是很建议用来过滤外网的流量。最好能用第三方设备。有兴趣可以看看我的《WSA个人学习笔记》会有介绍。3.5.3DNS重写为什么需要DNS重写呢？如下拓扑，实际工作中，叫用户输入ip地址来访ASA个人学习笔记问某些站点是不现实的，一般都是通过域名来进行访问的。既然如此，那如果在ASA中使用NAT的话，那网络中就会出现问题的。Inside充当一台WWW设备。外部设备通过telnet域名www.shen.com登录到inside设备上。DNS服器在外面。当从外部telnet域名是没问题的，如果从内部telnet域的话则会失败。原因就是inside发DNS请求出去到DNS服务器，解析回来到ASA的时候，ASA不会从原来接口回来，所以就会丢包。所以就可以用DNS重写这个功能来解决这个问题。当DNS服务器发解释到ASA的时候，ASA就会通过NAT的地址直接发送到inside设备上。Outside配置：ipname-server100.1.1.100ipdomainlookup！！指定DNS服务器并且解析到DNS服务器。ASA配置：objectnetworkdns1host10.1.1.10nat(inside,outside)static100.1.1.111dns！！做NAT转換，后面加上DNS命令，就是启用DNS重写功能access-list100permittcpanyhost10.1.1.10eqtelnetaccess-group100ininterfaceoutside！！新版的NAT功能可以直接指向内部地址。以前是指向全局地址注意：inside设备上也指向DNS服务器和开启DNS解析。并且启用TELNET功能，以方便outside做测试。测试成功：ASA个人学习笔记3.5.4监控ESMTP思科ASA在之前6.几版本的时候。默认只是监控smtp的流量。可是微软的esmtp与smtp不太一样，多出一个命令。所以ASA默认就不放行了。但是毕竟微软是大客户。ASA到了7版本之后就默认监控esmtp了。本章介绍如何控制esmtp数据的大小。配置：policy-maptypeinspectesmtppolicy-map1parametersmatchheaderlengthgt4096！！大于4096时reset！！重置或清零policy-mapglobal_policyclassinspection_defaultinspectesmtppolicy-map13.6基于用户的MPF之前我们学习过基于用户的穿越认证，现在今天介绍的是基于用户认证的MPF配置。之前学习的MPF都是基于网络的，如果匹配了的流量都会进入MPF策略。在ASA8.4(2)版本之前是做不了这个技术的。本章实验内容是，用户一不可以访问outside设备的shrun，而用户不可以访问outside设备的who。和3.5.2章节的内容是有点类似的。只不过今天介绍的是通过用户来做认证的。如下图：ASA个人学习笔记ASA配置:usernameuser1passwordciscousernameuser2passwordcisco!!创建两个账号给用户认证用object-groupusergroup1！！创建一个对象组userLocal\user1！！匹配本地数据的用户，也可以是ACS。object-groupusergroup2userLocal\user2access-list100extendedpermittcpanyanyeq80！！匹配流量aaaauthenticationmatch100insideLOCAL！！只要是这些流量都做认证，认证数据库为本地access-listfilter-shrunpermittcpobject-group-usergroup1anyanyeqwww!!匹配流量，并且是用户1的。access-listfilter-whopermittcpobject-group-usergroup2anyanyeqwwwregexwho"who"！！配置正则表达式，有”who”关键字的regexshrun"sh/run"class-mapclass1matchaccess-listfilter-shrun!!匹配流量class-mapclass2matchaccess-listfilter-whopolicy-maptypeinspecthttppolicy-map1!!注意，这是5-7层parametersmatchrequesturiregexshrun！！当这个流量中，有正则表达式里的ASA个人学习笔记关键字时,drop-connectionlog！！丢弃并且做logpolicy-maptypeinspecthttppolicy-map2parametersmatchrequesturiregexwhoresetpolicy-mapglobal_policyclassclass1inspecthttppolicy-map1!!深度过滤classclass2inspecthttppolicy-map2测试结果最后就是用户一不可以访问sh/run，用户二不可以访问who。测试过程就在此省略了。和3.5.2章节的一样的。3.7僵尸网络流量过滤-BotnetTrafficFilter僵尸网络意思就是用户在不知情或没有获得用户的授权下，就有自动运行任务的计算机，而攻击者通过远程控制这些计算机发起拒绝服务器（DOS）攻击。因为有可能一大堆计算机被远程控制了，从而发起大范围的攻击，后果还是挺严重的。就是平常所说的肉鸡网络。所以我们可以采用BTF这个技术来解决这个问题。BTF机制是用于阻止流量源自于或者去往已知感染的计算机站点。通过DNS监控实现的高级保护特性，使用从已知的错误域名及IP地址动态数据库中获取到的信息，来监测并有选择性地阻塞那些去往已被恶意程序控制侵占的站点的连接。一般是通过动态数据库来做对应。ASA会从CISCO下载更新。对有问题主机的DNS解析做出回应，被缓存在ASA本地的DNS反向查询缓存中。当一个新的连接初始化时，源和目的地地址被用来和DNS反向缓存中的条目进行对比，如果是危害的则可以丢弃该流量终止连接。ASA个人学习笔记当然，也可以手动的添加有问题和好的主机名和IP地址到静态数据库。好的就是白名单，不好的就是黑名单。比如我把“www.baidu.com”放到黑名单，那就不用上百度了。当ASA添加静态数据库的时候，会执行一次DNS查询并且把查询结果，映射到ASA本地DNS主机缓存中。当有连接进来ASA的时候，就会与之对比。如果合适了，那就干掉。如下图:本实验主要是做静态数据中的BFT。毕竟没有真实网络。假设本实验中R2是一个僵尸网络。所以需要把R2.shen.com的流量給干掉。只允许R1.shen.com的流量可以访问。配置：access-list111extendedpermittcpanyanyeqdomainaccess-list111extendedpermittcpanyanyeqwwwaccess-group111ininterfaceoutside！！DNS和WWW的流量肯定要放行的啦，不然还做个毛线的DNS咯。ASDM配置BFT，启用BTF，动态数据库可以不用，这里没有互联网。ASA个人学习笔记配置黑名单和白名单：配置DNS侦听：配置规则：当匹配到黑名单的连接时：ASA个人学习笔记配置流量的设置：测试一下，白名单可以通过，黑名单不可以通过：ASA个人学习笔记至此，实验完成。四、NAT从8.4版本开始，ASA的配置方式就已经发生了改变，而且很多都发生了改变。配置方式分为了两种:1.ObjectNAT。在ObjectNAT配置中，NAT策略被配置在一个网络对象的参数中。ObjectNAT被认为是一种快速而简单的配置方式，用于为单一的一个IP地址或一个网络范围和一个网段配置配置NAT。而且从理解层面上看，也感觉上简单了很多。2.TwiceNAT，可以理解为旧版本之前的策略NAT。TwiceNAT能够允许指定源和目的地址在一个策略中，能够指定源和目的地址，可以让同一个源地址在去ASA个人学习笔记往目的地址A的时候，转換为V，当去往目的地址S的时候，转换为B。甚至可以连源和目的一起转。很牛逼的样子。一般情况下推荐用object配置方式，只有某些特殊情况下才用Twice配置方法，后面会说明的。4.1NAT的类别4.1.1StaticNAT静态NAT，一般用于内部的某些服务器转到公网地址，让外网可以访问内网的服务器资源。允许双向流量。一对一进行转换，当然一般是通过一对一地址加端口转换的。换言之是需要給外网开放的服务则转换其端口，比如WWW、FTP啥的。超时时间是永不超时的。如上图：本次通过一个实验介绍如何配置静态NAT。ASA配置：objectnetworkdmzhost192.168.1.100！！定义DMZ的地址nat(dmz,outside)static100.1.1.100！！静态转换到外网地址然后就可以t