网络安全高级应用第二章

BENET3.0第二学期课程第二章第二章 Cisco防火墙防火墙 理论部分课程回顾 在 IP首部中，与分片有关的字段是哪几个？ ICMP报文分为哪两类？ 终止 TCP连接可以通过哪个控制位来实现？ TCP的 MSS存在于什么报文中？ UDP有没有流量控制？ 2技能展示 了解 Cisco防火墙产品系列 会对 ASA安全设备进行基本配置 会配置 ASA安全设备的高级应用 3本章结构Cisco防火墙Cisco防火墙简介 ASA基本配置 初始配置 配置路由 ASA高级应用配置远程管理接入 配置 ACL 配置网络地址转换 URL过滤 日志管理 配置安全功能 4Cisco防火墙简介 硬件与软件防火墙 软件防火墙 硬件防火墙 ASA安全设备 ASA 5500系列 常见型号： 5505、 5510、 5520、 5540、 5550、 5580 5ASA的基本配置 BENET公司网络环境 InternetWebDmzInsideOutside6ASA的基本配置F0/1PC1OutsideInside F0/0ISPWebDmzOut设备 IP IP 设备PC1 /24 54/24ASAWeb /24 54/24ISP /30 /30ISP 54/24 /24 Out搭建站点搭建站点配置 DNS服务器7ASA的基本配置 ASA的基本配置一般包括 ： 配置主机名、域名和密码 配置接口 配置路由 配置远程管理接入 为出站流量配置网络地址转换 配置 ACL 8配置主机名、域名和密码 配置主机名 配置域名 配置密码 配置 特权 密码 配置远程登录密码ciscoasa(config)# hostname asa802asa802(config)# domain-name asa802(config)# enable password asa802asa802(config)# passwd cisco教员演示操作过程教员演示操作过程9配置接口 配置 接口名字 Inside Outside DMZasa802(config-if)# nameif nameasa802(config-if)# security-level number配置 接口的安全级别 Inside默认安全级别为 100 Outside默认安全级别为 0 Inside DMZ Outside10配置接口asa802(config)# int E0/1asa802(config-if)# nameif inside asa802(config-if)# security-level 100 asa802(config-if)# ip add asa802(config-if)# no shutdownasa802(config-if)# exit教员演示操作过程教员演示操作过程配置 实例配置 ASA5505适用于小型企业只能使用虚接口11配置静态路由 配置静态路由 命令语法 本案例中配置的缺省路由 查看路由表asa802(config)# route interface-name network mask next-hop-addressasa802(config)# route outside asa802# show routeC 52 is directly connected, outsideC is directly connected, insideC is directly connected, dmzS* 1/0 via , outside12配置远程管理接入 配置 Telnet接入 命令语法 本案例中的配置 可以配置为只允许从一台主机接入 （可选）配置空闲超时时间asa802(config)# telnet network|ip-address mask interface-nameasa802(config)# telnet insideasa802(config)# telnet 55 insideasa802(config)# telnet timeout minutes13配置远程管理接入 配置 SSH接入 配置主机名和域名 生成 RSA密钥对 配置防火墙允许 SSH接入 （可选）配置空闲超时时间与版本asa802(config)# crypto key generate rsa modulus 1024asa802(config)# ssh timeout 30asa802(config)# ssh version 2asa802(config)# ssh insideasa802(config)# ssh 0 0 outside教员演示操作过程教员演示操作过程14配置远程管理接入 配置 ASDM接入 启用防火墙 HTTPS服务器功能 配置防火墙允许 HTTPS接入 指定 ASDM映像的位置 配置客户端登录使用的用户名和密码 asa802(config)# http server enable portasa802(config)# http network|ip-address mask interface_nameasa802(config)# asdm image disk0:/asdmfileasa802(config)# username user password password privilege 1515配置远程管理接入 本案例 ASDM接入的配置asa802(config)# http server enableasa802(config)# http insideasa802(config)# asdm image disk0:/asdm-602.binasa802(config)# username benet password cisco privilege 15在客户端主机 PC1上使用 ASDM 下载并安装 JRE，例如 jre-6u10-windows-i586-p.exe 访问 54 教员演示操作过程教员演示操作过程16为出站流量配置网络地址转换 指定什么流量需要被转换 定义一个全局地址池 本案例的配置asa802(config)# nat （ interface_name） nat-id local-ip maskasa802(config)# global （ interface_name） nat-id global-ip -global-ip |interfaceasa802(config)# nat-control asa802(config)# nat (inside) 1 0 0asa802(config)# global (outside) 1 intasa802(config)# global (dmz) 1 00-1017nat-control的使用asa802(config)# nat-control asa802(config)# nat (inside) 1 asa802(config)# global (outside) 1 interfaceinside outside进行 NAT转换不进行 NAT转换丢弃数据包18配置 ACL 标准访问列表 扩展访问列表 将 ACL应用到接口 本案例的配置asa802(config)#access-list acl_name standard permit | deny ip_addr mask asa802(config)# access-list acl_name extended permit | deny protocol src_ip_addr src_mask dst_ip_addr dst_mask operator port asa802(config)# access-group acl_name in | out interface interface_name asa802(config)# access-list in_to_out deny ip 40 anyasa802(config)# access-list in_to_out permit ip any anyasa802(config)# access-group in_to_out in int inside 19配置 ACL 配置 Static NAT（静态 NAT） 本案例的配置asa802(config)# static (real_interface,mapped_interface) mapped_ip real_ip asa802(config)# static (dmz,outside) 53 asa802(config)# access-list out_to_dmz permit tcp any host 53 eq wwwasa802(config)# access-group out_to_dmz in int outside 教员演示操作过程教员演示操作过程20ASA的其它配置 ICMP协议 保存配置 清除配置n 清除所有配置n 清除部分配置asa802(config)# access-list 111 permit icmp any any echo-replyasa802(config)# access-list 111 permit icmp any any unreachableasa802(config)# access-list 111 permit icmp any any time-exceededasa802(config)# access-group 111 in int outside asa802# write memory或 copy running-config startup-config asa802(config)# clear configure all asa802(config)# clear configure command level2command 教员演示操作过程教员演示操作过程21小结 请思考： 在 ASA上查看路由表的命令是什么？ ASA支持 3种主要的远程管理接入方式分别是什么？ 从低安全级别接口访问高安全级别接口，需要配置什么命令？ 22ASA的高级应用 URL过滤 日志管理 安全功能 基本威胁检测 防范 IP分片攻击 启用 IDS 23ASA的高级应用 URL过滤 要求 IP地址范围在 -5中的主机只能访问 ，不能访问其它任何网站。 禁止所有主机访问 。 实施 URL过滤分为 3个步骤 创建 class-map（类映射），识别传输流量 创建 policy-map（策略映射），关联 class-map 应用 policy-map到接口上 24ASA的高级应用 URL过滤 创建 class-map，识别传输流量 asa802(config)# access-list tcp_filter permit tcp 40 any eq wwwasa802(config)# class-map tcp_filter_classasa802(config-cmap)# match access-list tcp_filter asa802(config-cmap)#exitasa802(config)# regex url1 “.“ asa802(config)# class-map type regex match-any url_class asa802(config-cmap)# match regex url1asa802(config-cmap)# exit asa802(config)# class-map type inspect http http_url_classasa802(config-cmap)# match not request header host regex class url_class asa802(config-cmap)# exit 25ASA的高级应用 URL过滤 创建 policy-map，关联 class-map asa802(config)# policy-map type inspect http http_url_policy asa802(config-pmap)# class http_url_classasa802(config-pmap-c)# drop-connection log asa802(config-pmap-c)# exitasa802(config-pmap)#exit asa802(config)# policy-map inside_http_url_policy asa802(config-pmap)# class tcp_filter_class asa802(config-pmap-c)# inspect http http_url_policy asa802(config-pmap-c)# exitasa802(config-pmap)#exit 26ASA的高级应用 URL过滤 应用 policy-map到接口上 验证 PC1可以访问 PC1不能访问 。 asa802(config)# service-policy inside_http_url_policy interface inside 教员演示操作过程教员演示操作过程27ASA的高级应用 URL过滤 创建 class-map，识别传输流量 asa802(config)# access-list tcp_filter2 permit tcp any any eq wwwasa802(config)# class-map tcp_filter_class2asa802(config-cmap)# match access-list tcp_filter2asa802(config-cmap)#exitasa802(config)# regex url2 “.“asa802(config)# class-map type regex match-any url_class2asa802(config-cmap)# match regex url2 asa802(config-cmap)# exit asa802(config)# class-map type inspe