第五天PPT防火墙PIXASA

安全基础防火墙原理及配置基础篇,课程安排,包过滤防火墙：根据协议、源/目标IP、端口来允许或禁止数据包缺点：只要符合ACL的数据包都可通过可将数据包分片使其通过不容易实现复杂的ACL不能过滤某些服务,防火墙的类型,代理防火墙：在4到7层上检查数据包缺点：单点故障负载过重时，工作很慢一般建立在通用操作系统上,防火墙的类型,状态型防火墙：为每个穿过防火墙建立的会话保持完整的会话状态信息优点：将数据包与已建立的连接比较性能高在列表中为每条连接或无连接会话记录数据,防火墙的类型,1、扫描攻击：扫描目标网络2、访问攻击：非授权数据获取非授权系统访问非授权权限提升3、Dos攻击：禁止或破坏网络、系统或服务，使之拒绝向合法用户提供服务,常见的网络攻击种类,扫描攻击,端口扫描是攻击者频繁使用的强力方法，他们通过在网络设备上询问每个端口并为将来攻击保存这些信息，寻找打开TCP/UDP端口，通过寻找主机漏洞进行攻击，已获得用户信息。,访问攻击,访问攻击攻击者通过攻击，已获取非授权区域的服务，以此获取非法资料。,DoS（DenialofService）,DoS攻击用合理的服务请求大量占用系统资源最终使合法用户的服务请求得不到满足:主要类型Ping攻击（通过向被攻击系统发送大量特定大小的数据包来冲击、重启动甚至击溃目标系统）SYNflood（利用伪造且根本不存在的源地址发出SYN包，被攻主机试图回送ACK包，由于找不到源地址，只好将其排队，从而占满SYN队列，而达到攻击系统的目的）,SYNflood（常见DOS攻击之一）,一个正常的TCP三次握手连接,一个恶意DOS攻击情况,课程安排,ASA系列CiscoASA5505,CiscoASA5510,CiscoASA5520,CiscoASA5540,CiscoASA5550,CiscoASA5580-20,CiscoASA5580-40,CiscoASA5520/5540/5550AdaptiveSecurityAppliances产品简介,19,19,19,20,20,20,CiscoASAAIPSecurityServicesModule,ThumbscrewsforEasyInsertionandRemoval,ASA产品利用SSM模块实现如IPS,防病毒等安全功能,课程安排,用户接口,思科防火墙支持下列用户配置方式：Console，Telnet，SSH（1.x或者2.0，2.0为7.x新特性，PDM的http方式（7.x以后称为ASDM）和VMS的FirewallManagementCenter。注：Catalyst6500的FWSM（防火墙服务模块FirewallServiceModule）没有物理接口接入，通过下面CLI命令进入：Switch#sessionslotslotprocessor1（FWSM所在slot号）,ASA算法,ASA安全算法是PIX核心ASA算法只支持IP协议.ASA算法可以对连接同一台PIX的各个区域进行安全区域级别的划分默认情况下高安全级别可以访问低安全级别,低安全级别到高安全级别的访问必须利用策略.,防火墙区域,Inside区域:通常直接接入内网的，安全级别最高Outside区域:通常直接接入外网的，比如与外联单位相连的时候，安全级别最低。DMZ区域:De-MilitarizedZone（非军事化区域），安全级别通常介于inside和outside之间。,ASA算法对数据包的处理,允许出站连接，(即从较高安全级别到低安全级别）前提是必须做了地址翻译(在nat-control模式下)并且连接和状态必须记录在ASA表中(xlate,conn)。默认拒绝从低安全级别到高安全级别的流量,基本配置,1、非特权模式2、特权模式3、配置模式4、监视模式,用户模式：,初始配置,跟路由器一样可以使用setup进行对话式的基本配置。几乎很少会使用setup进行对话式的配置，这里简略不讲,接口基本配置,接口基本配置：,PIX6.x：Firewall(config)#interfacehardware-idhardware-speedshutdown（Hardware-id）例如：Interfaceethernet0100full,配置时间,手工配置时间,NTP配置,用户管理,用户管理,一般用户管理注：缺省情况下认证用户仅需要password，这样的一般用户缺省用户名就是enable_1,在ssh情况下缺省用户名就是pix，然后用password来认证。非特权模式密码配置：Firewall(config)#password|passwdpasswordencrypted(恢复缺省密码cisco用clearpassword|passwd)特权模式密码配置：Firewall(config)#enablepasswordpwlevelpriv_levelencrypted,本地数据库管理用户,定义用户：Firewall(config)#usernameusernamenopassword|passwordpasswordencryptedprivilegelevel启用本地认证：Firewall(config)#aaaauthenticationserial|telnet|ssh|httpconsoleLOCAL注：缺省情况特权模式密码使用enablepassword定义，这样用户通过认证后使用enable来进入特权模式，而不管用户初始什么等级的权限，所有用户使用相同的密码。这里也可以使用本地enable认证(aaaauthenticationenableconsoleLOCAL)，用户使用usernamepassword的密码来进入enable，用户enable密码独立从而增加安全性。,对TCP/UDP的处理,ASA算法对协议的理解,整体上协议被分成如下两个大类1PIX能够监控的有状态信息的（TCP/UDP）由于PIX维护了状态信息返回流量不需要ACL放行2没有状态信息的三层流量（GRE/ESP/AH/ICMP）PIX没有维护状态信息，返回流量都需要ACL放行,有状态的数据包连接过程,对TCP的处理1,对TCP的处理2,思考TCP数据经过PIX/ASA后，都改变了什么？目的,对UDP的处理,思考:UDP是一种没有状态的协议，PIX/ASA如何为其维护状态？让其返回数据得以通行,RouteStaticroute,配置命令,NATNetworkaddresstranslation,什么是NAT,NAT作用,企业使用NAT技术常常基于如下几种原因减少公有地址损耗内部使用RFC1918地址隐藏内部IP地址编码，同时能够隐藏内部拓扑，提高安全,PIX/ASA实现NAT的途径分为两种：动态NAT使用nat+globe的语句静态NAT使用static语句,注意：7.0及以上版本的PIX/ASA，如果使用NAT功能，必须先开启nat-control,开启nat功能后的防火墙规则,开启nat-control后从高安全等级到低安全等级的访问称为outbound访问，需要配置地址翻译（NAT），而从低安全等级到高安全等级的访问称为inboud访问，也需要配置inboud访问控制(ACL)，同时目标地址必须配置过NAT。,重要！,动态NAT,多组动态NAT,思考：多区域NAT,Inside访问DMZ，/240-254Inside访问outside，/240-254DMZ访问outside，/240-254,?,什么是静态NAT,永久性绑定IP地址对应关系常常用于服务器及对外提供服务的服务器使用static语句实现如下图中的Webserver及FTPServer，需要向外服务，此时建议使用静态NAT,静态NAT配置,语法结构,以WebServer为例,静态NAT配置,思考：如果外部只有一个IP地址，如何只使用一个IP地址向外同时提供Web和FTP服务？,静态PAT1,目标：,Static(DMZ,Outside)wwwwwwnetmask55Static(DMZ,Outside)ftp0ftpnetmask55,静态PAT2,目标：用户访问/ftp时，定向到用户访问/2121,定向到0,利用static防御DOS(SYN)攻击,通过控制半开连接数抵御dos攻击Static后边有两个数第一个是最大连接数，第二个是最大半开连接数Static(inside,outside)00默认情况下是00Static(inside,outside)1000200控制最大连接数为1000最大的半开连接数是200,PATPortaddresstranslation,什么是PAT,利用转换为不同的源端口，实现IP地址复用通过不同的源端口，保持不同流量的分离,PAT配置实例,内部拥有两个网段/24,/24外部只有一个公有地址内部网段均需要访问外部,PAT配置实例,内部拥有两个网段/24,/24外部只有一个公有地址内部网段均需要访问外部,思考：如果是外部接口地址如何配置,多组PAT配置,需求：当内部网络访问外部时,www.sino-,思考题,内部两个网络/24,/24外部地址池0-254需求内部网络访问外部时，优先使用NAT地址池（0-253），当NAT地址池中的地址耗尽后，后续访问使用PAT地址54,Connections1minute:2%;5minutes:2%显示当前CPU利用情况。,Showtraffic,pix#shtrafficoutside:received(in2.890secs):0packets189971bytes0pkts/sec65733bytes/sectransmitted(in2.890secs):0packets2914252bytes0pkts/sec1008391bytes/secinside:received(in2.890secs):0packets2627283bytes0pkts/sec909094bytes/sectransmitted(in2.890secs):0packets170788bytes0pkts/sec59096bytes/secdmz:received(in2.890secs):0packets305187bytes0pkts/sec105601bytes/sectransmitted(in2.890secs):0packets23331bytes0pkts/sec8073bytes/sec,显示在PIX各个接口的流量情况，出、入包和字节数等。,Showlocal-host,pix#shlocal-hostInterfacedmz:282active,282maximumactive,0deniedlocalhost:,TCPconnectioncount/limit=0/unlimitedTCPembryoniccount=0TCPinterceptwatermark=unlimitedUDPconnectioncount/limit=0/unlimitedAAA:Xlate(s):Global0Local0Conn(s):显示本地主机的TCP、UDP连接和NAT情况。,Showtech-support,ShowversionShowclockShowmemoryShowconncountShowxlatecountShowblocksShowinterfaceShowcpuusageShowprocessShowfailoverShowtrafficShowperformShowrunning-config,PIXTroubleshooting工具之六PDM/ASDM,可通过图形化的管理工具，更直观地监测到如CPU、内存、接口带宽等一些动态参数的运行趋势。可结合CLI进行维护。也可参照Ciscoworks2000的相关安全管理工具。,PIX调试中的问题应用不能正常使用,检查：Permissions:安全策略设置是否正确Translation:地址翻译设置是否正确。Static和NAT语句，global语句Routing：路由表是否正确强烈建议：在PIX的安全策略、接口、路由，甚至配置改动的时候，尽可能在条件允许的情况下使用clearxlate、cleararp、clearlocal-host清除原有的xlate、arp和连接！,PIXTroubleshooting案例分析,问题现象：用户不能正常访问Internet。新连接不能正常使用。原有连接可正常使用。分析过程：第一步：检查Syslog%PIX-3-211001:MemoryallocationError%PIX-3-211001:MemoryallocationError第二步：检查可用内存Hardware:PIX-515E,64MRAM-showmemory-Freememory:714696bytesUsedmemory:66394168bytes-Totalmemory:67108864bytes,PIXTroubleshooting案例分析,第三步：是什么用尽了内存？第四步：检查Xlatepix#shxlate251inuse,258mostused第五步：检查连接数pix#shconn147456inuse,147456mostused为什么连接数这么高？,PIXTroubleshooting案例分析,第六步：检查流量情况，用showtraffic命令。检查结果：大多数的流量都是流入Inside接口，从Outside接口流出。-showtraffic-outside:received(in25.000secs):1475packets469050bytes59pkts/sec18762bytes/sectransmitted(in25.000secs):167619packets9654480bytes6704pkts/sec386179bytes/secinside:received(in25.000secs):180224packets10410480bytes7208pkts/sec416419bytes/sectransmitted(in25.000secs):1050packets118650bytes42pkts/sec4746bytes/sec,PIXTroubleshooting案例分析,第七步：分析为什么连接数如此高，但Xlate数却不高？结论：每一个Xlate使用了大量的connection。可能某个或者几个主机正在使用大量的connection。大多数情况下是由病毒或者攻击引起的。,PIXTroubleshooting案例分析,第八步：查找产生大量connection的主机pix#shlocal-host|includehost|count/limitlocalhost:,TCPconnectioncount/limit=146608/unlimitedUDPconnectioncount/limit=0/unlimited使用正则表达式，只查看host或者count/limit行。结果表明：主机9几乎用了所有的连接，都是基于TCP的应用。,PIXTroubleshooting案例分析,第九步：看看这台主机在做什么？pix#shlocal-host9Interfaceinside:250active,250maximumactive,0deniedlocalhost:,TCPconnectioncount/limit=146608/unlimitedTCPembryoniccount=146606TCPinterceptwatermark=unlimitedUDPconnectioncount/limit=0/unlimitedAAA:Xlate(s):Global1Local9Conn(s):TCPout53:135in9:34580idle0:00:15Bytes0flagssaATCPout91:135in9:8688idle0:00:29Byt