• 防范IP分片.gong.击
    1)IP分片的原理
    ASA高级配置
    数据字段的长度最大为1500字节,这个数值被称为最大传送单元(Maximun Transmission Unit MTU)。不同的网络有不同的MTU值,如以太网的MTU值是1500字节,PPP链路的MTU值是296字节。
    当IP数据报封装成帧时,必须符合帧格式的规定,如果IP数据报的总长度不大于MTU值,就可以直接封装成一个帧,如果IP数据报的总长度大于MTU值,就必须分片,然后将每一个分片封装成一个帧。
    再分片。每一个分片都有它自己的IP首部,可以独立地走不同的路由,如果已经分片的数据报遇到了具有更小MTU的网络,则还可以再进行分片。
    分片重装。IP数据报可以被源主机或在其路径上的任何路由器进行分片,然后每个分片经过路由到达目的主机,再进行重装。
    ASA高级配置
    ASA高级配置
    2)他们的特点
    独立的IP数据 报,每个分片都是独立的IP数据报,都有一个20字节的首部
    3)分片相关的IP数据包字段
    标识:标识两个分片后的数据包一致表示来自同一个数据包分片
    标志:判断数据是否被分片,是否存在后续分片,是否时最后一个分片,第三位是1表示还有后续分片数据,第三位是0表示最后一个分片,第二位是0表示数据包允许被分片,标志决定数据包到达目标网络是否能够重组
    分片偏移量:分片后的数据在原始数据包中的位置是否发生改变
  • 泪滴
    1)
    主机制造虚假的IP分片导致客户端无法收到最后一个分片,目标主机不能数据包重组导致通信失败
    2)Windows XP;Windows server 2003容易遭受泪滴
    3)防范泪滴

    禁用IP分片,ASA允许一个数据包默认被分24次,ASA5秒内收不到最后一个分片直接丢包
    4)配置ASA禁用IP分片
    ASA(config)#fragment chain 1
  • URL过滤
    1)URL过滤的作用
    限制用户不能访问特定的网站
    2)URL过滤的思路
    1)创建ACL抓取走URL过滤的流量
    ASA(config)# access-list tcp_filter1 permit tcp tcp 192.168.10.0 255.255.255.0 192.168.40.0 255.255.255.0
    2)配置URL的正则表达式
    ASA(config)# regex urll ".kkgame.com"
    3)配置class-map调用ACL和定义流量检查
    1、创建class-map的名字是tcp_filter_class1
    ASA(config)# class-map tcp_filter_class1
    2、class-map调用ACL
    ASA(config-cmap)# match access-list tcp_filter1
    3、创建class-map名字是url_class1,类型是regex
    ASA(config)# class-map type regex match-any url_class1
    4、class-map调用正则表达式
    ASA(config-cmap)# match regex urll
    4)创建class-map检查http类型的流量
    1)创建class-map检查http的类型流量
    ASA(config)# class-map type inspect http http_url_class1
    2)将检查http报文的首部和定义正则表达式进行匹配
    ASA(config-cmap)# match request header host regex class url_class1
    5)创建policy-map和class-map进行关联
    1、创建policy-map名字是http_url_policy1
    ASA(config)# policy-map type inspect http http_url_policy1
    2、policy-map调用class-map,class-map的名字是http_url_class1
    ASA(config-pmap)# class http_url_class1
    3、配置匹配正则表达式的流量丢弃记录日志
    ASA(config-pmap-c)# drop-connection log
    6)创建policy-map将policy-map应用到接口
    1、创建class-map名字是insdie_http_url_policy
    ASA(config)# policy-map inside_http_url_policy
    2、policy-map调用class-map,class-map的名字是tcp_filter_class1
    ASA(config-pmap)# class tcp_filter_class1
    3、定义检查http流量
    ASA(config-pmap-c)# inspect http http_url_policy1
    7)将policy-map应用到inside接口
    ASA(config)# service-policy inside_http_url_policy interface inside
  • ASA日志安全级别范围
    ASA高级配置
  • 配置日志服务器
    1)配置ASA所在的时区
    ASA(config)#clock timezone peking 8
    2)配置ASA的时间,2019年5月7日15:38分0秒
    ASA(config)#clock set 15:38:00 7 may 2019
    3)查看时间信息
    ASA(config)#show clock
  • 配置日志监控
    1)配置log buffer
    ASA(config)#logging enable
    2)启用指定的日志安全级别
    ASA(config)#logging buffered informational
    3)查看日志服务器的配置
    ASA(config)#show logging
  • 将日志上传到指定的日志服务器
    1)配置时间戳,从现在开始日志上传到服务器
    ASA(config)#logging timestamp
    2)配置向日志服务器传输日志信息为提示信息,可以传输0~7日志级别
    ASA(config)#logging trap informational
    3)上传到指定的日志服务器
    ASA(config)#logging host inside 192.168.100.10
  • ASA透明模式
    1)ASA支持的模式类型
    路由模式:查询路由转发数据,默认工作的默认
    透明模式:简称交换模式,查询MAC地址表转发数据
    2)透明模式的特点
    7.0版本后开始支持透明模式
    8.0以后透明模式开始支持NAT功能
    透明模式的防火墙不能参与生成树选举
    允许IPV4高访问低,允许ARP协议双向穿越防火墙
    配置透明模式不再支持DMZ区域只能设置进和出
    3)模式切换到透明模式
    ASA(config)#firewall transparent
    4)查看ASA防火墙工作的模式
    ASA(config)#show firewall
    5)配置管理IP地址
    ASA(config)#ip address 192.168.100.10 255.255.255.0
    6)查看MAC地址缓存表
    ASA(config)#show mac-address-table
    7)禁止通过inside接口学习MAC地址
    ASA(config)#mac-learn inside disable