Cisco ASA 高級配置
一、防范IP分片攻擊
1、Ip分片的原理;
2、Ip分片的安全問題;
3、防范Ip分片。
這三個問題在之前已經詳細介紹過了,在此就不多介紹了。詳細介紹請查看上一篇文章:IP分片原理及分析。
二、URL過濾
利用ASA防火牆IOS的特性URL過濾可以對訪問的網站域名進行控制,從而達到某種管理目的。
實施URL過濾一般分為以下三個步驟:
(1) 創建class-map (類映射),識別傳輸流量。
(2) 創建policy-map (策略映射),關聯class-map。
(3) 應用policy-map到接口上。
注意:一個接口只能應用一個policy-map。
三、日志管理
對於任何防火牆產品來說,最重要的功能之一就是對事件進行日志記錄,ASA使用同步日志(syslog)來記錄在防火牆上發生的所有事件。
1、日志信息的安全級別
日志信息的安全級別分為八個等級。
信息的緊急程度按照重要性從高到低排列,emergencies(非常緊急)的重要性最高,而debugging(調試)的重要性最低。
2、配置日志
日志信息可以輸出到Log Buffer(日志緩沖區)、ASDM和日志服務器。
在配置日志前,一般需要先配置時區和時間,配置如下:
1)配置時區:
命令如下:
asa(config)# clock timezone peking 8
其中peking用來指明所在時區的名字,8是指相對於國際標准時間的偏移量,這個值得取值范圍為-23~23。
2)配置時間:
命令如下:
asa(config)# clock set 10:30:00 21 June 2013
其中10對應小時,30對應分鍾,00對應秒,21對應日,June對應月,2013對應年。
然后可以分別配置Log Buffer、ASDM和日志服務器。
3)配置Log Buffer
命令如下:
asa(config)# logging enable
asa(config)# logging buffered informational //配置informational級別的日志,也可以寫6,表示6以上的級別(0~6級別)。
注:Log Buffer 的默認大小是4KB。
查看Log Buffer 的命令如下:
asa(config)# show logging
清除Log Buffer 的命令如下:
asa(config)# clear logging buffer
4)配置ASDM日志
命令如下:
asa(config)# logging enable
asa(config)# logging asdm informational
清除ASDM 的命令如下:
asa(config)# clear logging asdm
5)配置日志服務器
目前,有很多日志服務器軟件。Firewall Analyzer是一款基於Web的防火牆日志分析軟件,利用該軟件能夠監控網絡周邊安全設備、收集和歸檔日志,並生成報表。Firewall Analyzer能夠幫助網絡安全管理員有效監控帶寬和防火牆安全事件,全面了解網絡的安全狀況;監控使用/未使用的防火牆策略並優化策略;通過趨勢分析規划網絡容量等。Firewall Analyzer支持多種設備/廠商,支持Windows和Linux平台。
網絡環境:
一台Win7作為訪問者,win2008上安裝有Firewall Analyzer 6,日志服務器,中間隔着防火牆。
配置如下:
(1)在ASA防火牆的配置如下:
asa(config)# logging enable
asa(config)#logging timestamp //啟用時間戳
asa(config)# logging trap informational
asa(config)# logging host inside 192.168.0.1 //日志服務器的ip地址以及連接ASA的接口
ASA與日志服務器的通信默認使用UDP協議514端口。
(2)Firewall Analyzer 6安裝后,默認會啟用兩個SyslogServer,分別監聽UDP的514端口和1514端口。首先使用Firewall Analyzer 啟動服務程序,然后使用“Firewall Analyzer Web Client”進入用戶端界面,輸入初始用戶名和密碼。
(3)在主機Windows7上運行命令ping 192.168.0.1 -l 10000 -t 模擬攻擊,然后在Firewall Analyzer 的Web界面上就可以查看到相應的事件。
在“安全統計”下單擊“查看Syslogs”可以查看詳細的日志信息。
日志信息的格式如下:
%asa-Level-Message_number: Message_text
對其中字段的含義說明如下:
Level:安全級別號。
Message-number:日志信息的編號,以6位數字表示。
Message_text:對日志信息的描述。
注意:
盡管debugging級別的日志可以幫助診斷和排查網絡故障,但是在應用時要非常小心。因為debugging級別的日志信息數量龐大,如果使用不當可能會對防火牆的工作造成負面影響。
(4)可以通過Firewall Analyzer 的事件概要報表、安全報表生成報告。
四、透明模式
ASA安全設備可以工作在兩種模式下,即路由模式和透明模式,默認情況下ASA處於路由模式。
1、透明模式概述
ASA從7.0版本開始支持透明模式。
在路由默認下,ASA充當一個三層設備,基於目的Ip地址轉發數據包;在透明模式下,ASA充當一個二層設備,基於目的MAC地址轉發數據楨(沒有配置NAT時)。
在8.0之前的版本中,透明模式下不支持NAT,8.0及其后續版本支持NAT配置。如果配置了NAT,ASA轉發數據包仍然使用路由查找。
處於透明模式下的ASA雖然是一個二層設備,但與交換機處理數據楨存在着不同。
1)對於目的MAC地址未知的單播數據楨,ASA不會泛洪而是直接丟棄。
2)ASA不參與STP(生成樹協議)。
透明模式下默認允許穿越的目的MAC地址如下:
1)廣播MAC地址:FFFF.FFFF.FFFF
2)Ipv4組播MAC地址從0100.5E00.0000到0100.5EFE.FFFF。
3)Ipv6組播MAC地址從3333.0000.0000到3333.FFFF.FFFF。
4)BPDU組播MAC地址:0100.0CCC.CCCD (Cisco私有)。
5)AppleTalk組播MAC地址從0900.0700.0000到0900.07FF.FFFF。
透明模式下默認允許的三層流量如下:
1)允許Ipv4流量自動從高級別接口到低級別接口,而不必配置ACL。
2)允許ARP流量雙向穿越,而不必配置ACL。
ASA在透明模式下運行時,繼續使用應用層智能執行狀態檢測和各項常規防火牆功能,但只支持兩個區域。
透明模式下不需要再接口上配置Ip地址,這樣就不用重新設計現有的Ip網絡,方便部署。
2、透明模式的配置
1)切換到透明模式
命令如下:
asa(config)# firewall transparent
ciscoasa(config)#
需要注意的是:切換時會清除當前的配置。
查看當前的工作模式的命令如下:
ciscoasa(config)# show firewall
Firewall mode: Transparent
如果要重新切換到路由模式,需要使用命令:no firewall transparent。
2)管理IP地址
需要為ASA分配一個Ip地址用於管理目的,管理Ip地址必須處於同一個連接子網。ASA將管理Ip地址用作源於ASA的分組的源Ip地址,如系統消息、AAA或SYSLOG服務器。
管理Ip地址的配置命令如下:
ciscoasa(config)#ip address ip地址 [子網掩碼]
3)MAC地址表及學習
查看MAC地址表的命令如下:
ciscoasa# show mac-address-table
設置動態MAC條目的過期時間(默認5分鍾)的命令如下:
ciscoasa(config)#mac-address-table aging-time minutes
設置靜態MAC條目的命令如下:
ciscoasa(config)# mac-address-table static logical_if_name mac_address
禁止特定接口的MAC地址學習的命令如下:
ciscoasa(config)# mac-learn logical_if_name disable
單詞含義:
Identification:標識符 ; offset:偏移量 ; fragment:分片 ; inspect:檢查 ; buffer:緩沖區 ; transparent:透明的 ; match:匹配; timezone:時區 ; timestamp:時間戳 ; MTU(Maximun Transmission Unit):最大傳送單元 ; teardrop:淚滴