网络安全部署03-v1 (2)

第四章CiscoASA高级配置——理论部分2/35BENET4.02/29BENET4.0课程回顾在ASA上查看NAT转换表的命令是什么？●nat-control命令有何作用？●NAT豁免有何作用？3/35BENET4.03/29BENET4.0技能展示●理解IP分片并防范其攻击●会配置URL过滤●会进行日志管理与分析●会配置透明模式4/35BENET4.04/29BENET4.0本章结构防范IP分片攻击IP分片的原理IP分片的安全问题防范IP分片CiscoASA高级配置URL过滤日志信息的安全级别配置日志日志管理透明模式透明模式概述透明模式的配置透明模式的配置案例5/35BENET4.05/29BENET4.0IP分片的原理●MTU●分片MTU数据FCS类型源地址目的地址MTU原数据帧分片的数据帧MTU=1500MTU=6206/35BENET4.06/29BENET4.0IP分片的原理●分片重装的详细过程IP头数据数据分片1数据分片2IP头IP头6数据分片1数据分片2分片过程重装过程数据7/35BENET4.07/29BENET4.0IP分片分析2-1分片1：分片2：Identification（标志）：标识都为6307，表示它们原先属于同一个IP数据报文Flags（标志）：第2位：0表示允许分片第3位：0表示最后一个分片，1表示还有后续的分片Fragmentoffset（分片偏移）：分片报文在原始数据报文中的偏移量8/35BENET4.08/29BENET4.0IP分片分析2-2●分片偏移●指分片的数据部分在原始数据包的数据部分中的偏移量●原始数据包，其数据部分的长度为2008字节●第1个分片的总长度为1500字节，其数据部分的长度为：1500－20＝1480字节，偏移是0字节●第2个分片的总长度为548字节，其数据部分的长度为：548－20＝528字节，偏移是1480字节原始数据包的数据部分分片1的数据部分020071480分片2的数据部分14799/35BENET4.09/29BENET4.0IP分片的安全问题●泪滴攻击（teardrop）原理分析●操作系统在收到IP分片后，会根据偏移值将IP分片重新组装成IP数据包●如果伪造含有重叠偏移的分片，一些老的操作系统在收到这种分片时将崩溃分片1的数据部分0分片2的数据部分40010/35BENET4.010/29BENET4.0防范IP分片●在ASA上配置fragmentchain●每个IP包允许的分片数，默认是24个●禁止IP分片通过的配置命令asa(config)#fragmentchain1ASA处理IP分片的机制默认等待5秒如果在5秒内没有收到后续的IP分片，则认为重组失败，最终将丢弃所有的分片“1”表示没有分片11/29URL过滤network工作相关网站工作无关网站）创建class-map（类映射），识别传输流量2）创建policy-map（策略映射），关联class-map3）应用policy-map到接口上12/29URL过滤12第一层asa(config)#access-listtcp_filter1permittcp192.168.1.0255.255.255.0anyeq(config)#class-maptcp_filter_class1asa(config-cmap)#matchaccess-listtcp_filter1asa(config)#policy-mapinside_http_url_policyasa(config-pmap)#classtcp_filter_class1asa(config-pmap-c)#inspecthttphttp_url_policy1asa(config)#service-policyinside_http_url_policyinterfaceinside只要匹配上述ACL就按照http_url_policy1规则检测http流量应用到接口http_url_policy1规则的内容体现在第二层中network13/29networkURL过滤—拒绝与工作无关的网站第二层asa(config)#class-maptypeinspecthttphttp_url_class1asa(config-cmap)#matchrequestheaderhostregexclassurl_class1asa(config)#policy-maptypeinspecthttphttp_url_policy1asa(config-pmap)#classhttp_url_class1asa(config-pmap-c)#drop-connectionlog只要在检查http请求报文包头的host字段的过程中发现url_class1所规定的字段就丢弃该数据报文并记录在日志中url_class所规定的字段体现在第三层第三层asa(config)#regexurl1\.kkgame\.comasa(config)#class-maptyperegexmatch-anyurl_class1asa(config-cmap)#matchregexurl1url_class1所规定的字段需要匹配正则表达式url114/35BENET4.014/29BENET4.0小结●请思考：●IP头部中与分片有关的字段有哪几个？●IP分片会导致什么安全问题？15/35BENET4.015/29BENET4.0日志管理●日志信息的安全级别●emergencies的重要性最高，debugging的重要性最低级别号关键字说明0emergencies（非常紧急）系统无法使用1alert（紧急）需要立即处理2critical（临界）临界状态3error（错误）错误状态4warning（警告）警告状态5notification（注意）正常但不良好状态6informational（提醒）提醒信息7debugging（调试）调试阶段信息16/35BENET4.016/29BENET4.0配置日志●日志信息可以输出到LogBuffer（日志缓冲区）、ASDM和日志服务器●首先配置时区和时间asa(config)#clocktimezonepeking8asa(config)#clockset10:30:0021June2011配置LogBuffer查看LogBufferasa(config)#loggingenableasa(config)#loggingbufferedinformationalasa(config)#showloggingDebugging级别不要轻易使用，会耗费防火墙自身的可用资源配置ASDM日志asa(config)#loggingenableasa(config)#loggingasdminformational17/35BENET4.017/29BENET4.0配置日志服务器InsideOutside172.16.1.1/24192.168.1.1/24Win2008R1asa(config)#loggingenableasa(config)#loggingtimestampasa(config)#loggingtrapinformationalasa(config)#logginghostinside192.168.0.1安装FirewallAnalyzer，使用UDP端口514和1514攻击日志信息的格式%asa-Level-6位编号:描述查看事件概要报表、报告等18/35BENET4.018/29BENET4.0透明模式●ASA的两种工作模式●路由模式（默认）●透明模式充当一个3层设备，基于目的IP地址转发数据包充当一个2层设备，基于目的MAC地址转发数据帧如果配置了NAT，ASA转发数据包仍然使用路由查找与交换机处理数据帧的不同：1）对于目的MAC地址未知的单播数据帧，ASA不会泛洪而是直接丢弃2）ASA不参与STP19/35BENET4.019/29BENET4.0透明模式●透明模式下默认允许的3层流量●允许IPv4流量自动从高级别接口到低级别接口●允许ARP流量双向穿越InsideOutside透明模式下继续使用应用层智能执行状态检测和各项常规防火墙功能，但只支持2个区域透明模式下不需要在接口上配置IP地址，这样就不用重新设计现有的IP网络，方便部署20/35BENET4.020/29BENET4.0透明模式的配置●切换到透明模式●查看当前的工作模式●配置管理IP地址●查看MAC地址表ciscoasa(config)#showfirewallFirewallmode:Transparentasa(config)#firewalltransparent重新切换到路由模式：nofirewalltransparentciscoasa(config)#ipaddressIP_address[subnet_mask]管理IP地址必须处于同一个连接子网ciscoasa#showmac-address-table禁止特定接口的MAC地址学习ciscoasa(config)#mac-learnlogical_if_namedisable21/35BENET4.021/29BENET4.0透明模式配置实例一●需求分析●公司为了方便部署，将ASA配置为透明模式●管理IP地址配置为192.168.1.253/24InsideOutside192.168.1.254/24192.168.1.0/24R1E0/1E0/0R1192.168.1.253/24Internet内网SWASA的配置ciscoasa(config)#firewalltransparentciscoasa(config)#hostnameasaasa(config)#intE0/0asa(config-if)#noshutasa(config-if)#nameifoutsideasa(config-if)#intE0/1asa(config-if)#noshutasa(config-if)#nameifinsideasa(config)#ipadd192.168.1.253255.255.255.022/35BENET4.022/29BENET4.0透明模式配置实例二●需求分析●为了增强托管主机的安全，增加了一台ASA并将其配置为透明模式，管理IP地址配置为209.165.201.1/28InsideOutside209.165.201.0/28E0/0R1IDC网络托管主机SWTrunkVlan10Vlan20209.165.201.1/28E0/0.10E0/0.20F0/0ASA的E0/0口配置为Trunk，具体配置如下：ciscoasa(config)#firewalltransparentciscoasa(config)#hostnameasaasa(config)#intE0/0asa(config-if)#noshutasa(config-if)#intE0/0.10asa(config-if)#vlan10asa(config-if)#nameifinsideasa(config-if)#intE0/0.20asa(config-if)#vlan20asa(config-if)#nameifoutsideasa(config)#ipadd209.165.201.1255.255.255.240asa(config)#access-listACLOUTpermiticmpanyanyasa(config)#access-listACLOUTpermittcpanyanyeq80asa(config)#access-listACLOUTpermittcpanyanyeq21asa