Cisco ASA 高级配置

Cisco ASA 高级配置

一、防范IP分片攻击

1Ip分片的原理;

2Ip分片的安全问题;

3、防范Ip分片。

这三个问题在之前已经详细介绍过了,在此就不多介绍了。详细介绍请查看上一篇文章:IP分片原理及分析。

二、URL过滤

利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。

实施URL过滤一般分为以下三个步骤

1 创建class-map (类映射),识别传输流量。

2 创建policy-map (策略映射),关联class-map

3 应用policy-map到接口上。

注意:一个接口只能应用一个policy-map

三、日志管理

对于任何防火墙产品来说,最重要的功能之一就是对事件进行日志记录,ASA使用同步日志(syslog)来记录在防火墙上发生的所有事件。

1、日志信息的安全级别

日志信息的安全级别分为八个等级。

clip_image001

信息的紧急程度按照重要性从高到低排列,emergencies(非常紧急)的重要性最高,而debugging(调试)的重要性最低

2、配置日志

日志信息可以输出到Log  Buffer(日志缓冲区)、ASDM和日志服务器。

在配置日志前,一般需要先配置时区和时间,配置如下:

1)配置时区:

命令如下:

asa(config)# clock  timezone  peking  8

其中peking用来指明所在时区的名字,8是指相对于国际标准时间的偏移量,这个值得取值范围为-23~23

2)配置时间:

命令如下:

asa(config)# clock  set  10:30:00  21  June  2013

其中10对应小时,30对应分钟,00对应秒,21对应日,June对应月,2013对应年。

然后可以分别配置Log  BufferASDM和日志服务器。

3)配置Log  Buffer

命令如下:

asa(config)# logging  enable

asa(config)# logging  buffered  informational  //配置informational级别的日志,也可以写6,表示6以上的级别(0~6级别)。

注:Log  Buffer 的默认大小是4KB

查看Log Buffer 的命令如下:

asa(config)# show  logging

清除Log  Buffer 的命令如下:

asa(config)# clear  logging  buffer

4)配置ASDM日志

命令如下:

asa(config)# logging  enable

asa(config)# logging  asdm  informational

清除ASDM 的命令如下:

asa(config)# clear  logging  asdm

5)配置日志服务器

目前,有很多日志服务器软件。Firewall  Analyzer是一款基于Web的防火墙日志分析软件,利用该软件能够监控网络周边安全设备、收集和归档日志,并生成报表。Firewall  Analyzer能够帮助网络安全管理员有效监控带宽和防火墙安全事件,全面了解网络的安全状况;监控使用/未使用的防火墙策略并优化策略;通过趋势分析规划网络容量等。Firewall  Analyzer支持多种设备/厂商,支持WindowsLinux平台。

网络环境:

一台Win7作为访问者,win2008上安装有Firewall  Analyzer 6,日志服务器,中间隔着防火墙。

配置如下:

1)在ASA防火墙的配置如下:

asa(config)# logging  enable

asa(config)#logging  timestamp  //启用时间戳

asa(config)# logging  trap  informational

asa(config)# logging  host  inside  192.168.0.1  //日志服务器的ip地址以及连接ASA的接口

clip_image002

ASA与日志服务器的通信默认使用UDP协议514端口。

2Firewall  Analyzer 6安装后,默认会启用两个SyslogServer,分别监听UDP514端口和1514端口。首先使用Firewall  Analyzer 启动服务程序,然后使用“Firewall  Analyzer Web Client”进入用户端界面,输入初始用户名和密码。

3)在主机Windows7上运行命令ping  192.168.0.1  -l  10000  -t 模拟攻击,然后在Firewall  Analyzer Web界面上就可以查看到相应的事件。

clip_image003

在“安全统计”下单击“查看Syslogs”可以查看详细的日志信息。

clip_image004

日志信息的格式如下:

%asa-Level-Message_number: Message_text

对其中字段的含义说明如下:

Level:安全级别号。

Message-number:日志信息的编号,以6位数字表示。

Message_text:对日志信息的描述。

注意:

尽管debugging级别的日志可以帮助诊断和排查网络故障,但是在应用时要非常小心。因为debugging级别的日志信息数量庞大,如果使用不当可能会对防火墙的工作造成负面影响。

4)可以通过Firewall  Analyzer 的事件概要报表、安全报表生成报告。

clip_image005

四、透明模式

ASA安全设备可以工作在两种模式下,即路由模式和透明模式,默认情况下ASA处于路由模式。

clip_image006

1、透明模式概述

ASA7.0版本开始支持透明模式。

在路由默认下,ASA充当一个三层设备,基于目的Ip地址转发数据包;在透明模式下,ASA充当一个二层设备,基于目的MAC地址转发数据桢(没有配置NAT时)。

8.0之前的版本中,透明模式下不支持NAT8.0及其后续版本支持NAT配置。如果配置了NATASA转发数据包仍然使用路由查找。

处于透明模式下的ASA虽然是一个二层设备,但与交换机处理数据桢存在着不同。

1对于目的MAC地址未知的单播数据桢,ASA不会泛洪而是直接丢弃。

2ASA不参与STP(生成树协议)。

透明模式下默认允许穿越的目的MAC地址如下:

1广播MAC地址:FFFF.FFFF.FFFF

2Ipv4组播MAC地址从0100.5E00.00000100.5EFE.FFFF

3Ipv6组播MAC地址从3333.0000.00003333.FFFF.FFFF

4BPDU组播MAC地址:0100.0CCC.CCCD Cisco私有)。

5AppleTalk组播MAC地址从0900.0700.00000900.07FF.FFFF

透明模式下默认允许的三层流量如下:

1允许Ipv4流量自动从高级别接口到低级别接口,而不必配置ACL

2允许ARP流量双向穿越,而不必配置ACL

clip_image007

ASA在透明模式下运行时,继续使用应用层智能执行状态检测和各项常规防火墙功能,但只支持两个区域。

透明模式下不需要再接口上配置Ip地址,这样就不用重新设计现有的Ip网络,方便部署。

2、透明模式的配置

1)切换到透明模式

命令如下:

asa(config)# firewall  transparent

ciscoasa(config)#

需要注意的是:切换时会清除当前的配置。

查看当前的工作模式的命令如下:

ciscoasa(config)# show firewall

Firewall  mode: Transparent

如果要重新切换到路由模式,需要使用命令:no  firewall  transparent

2)管理IP地址

需要为ASA分配一个Ip地址用于管理目的,管理Ip地址必须处于同一个连接子网。ASA将管理Ip地址用作源于ASA的分组的源Ip地址,如系统消息、AAASYSLOG服务器。

管理Ip地址的配置命令如下:

ciscoasa(config)#ip  address  ip地址 [子网掩码]

3MAC地址表及学习

查看MAC地址表的命令如下:

ciscoasa# show  mac-address-table

设置动态MAC条目的过期时间(默认5分钟)的命令如下:

ciscoasa(config)#mac-address-table  aging-time  minutes

设置静态MAC条目的命令如下:

ciscoasa(config)# mac-address-table  static logical_if_name  mac_address

禁止特定接口的MAC地址学习的命令如下:

ciscoasa(config)# mac-learn logical_if_name disable

单词含义:

Identification:标识符 offset:偏移量 fragment:分片 inspect:检查 buffer:缓冲区 transparent:透明的 match:匹配; timezone:时区 timestamp:时间戳 MTUMaximun Transmission Unit):最大传送单元 teardrop:泪滴

posted on 2014-11-14 20:05  fklin  阅读(6571)  评论(0编辑  收藏  举报

导航