Cisco ASA 高级配置

10477777

　　Cisco ASA 高级配置
　　一、防范IP分片攻击
　　1、Ip分片的原理；
　　2、Ip分片的安全问题；
　　3、防范Ip分片。
　　这三个问题在之前已经详细介绍过了，在此就不多介绍了。详细介绍请查看上一篇文章：IP分片原理及分析。
　　二、URL过滤
　　利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制，从而达到某种管理目的。
　　实施URL过滤一般分为以下三个步骤：
　　（1） 创建class-map （类映射），识别传输流量。
　　（2） 创建policy-map （策略映射），关联class-map。
　　（3） 应用policy-map到接口上。
　　注意：一个接口只能应用一个policy-map。
　　三、日志管理
　　对于任何防火墙产品来说，最重要的功能之一就是对事件进行日志记录，ASA使用同步日志（syslog）来记录在防火墙上发生的所有事件。
　　1、日志信息的安全级别
　　日志信息的安全级别分为八个等级。

　　信息的紧急程度按照重要性从高到低排列，emergencies（非常紧急）的重要性最高，而debugging（调试）的重要性最低。
　　2、配置日志
　　日志信息可以输出到Log  Buffer（日志缓冲区）、ASDM和日志服务器。
　　在配置日志前，一般需要先配置时区和时间，配置如下：
　　1）配置时区：
　　命令如下：
　　asa(config)# clock  timezone  peking  8
　　其中peking用来指明所在时区的名字，8是指相对于国际标准时间的偏移量，这个值得取值范围为-23~23。
　　2）配置时间：
　　命令如下：
　　asa(config)# clock  set  10:30:00  21  June  2013
　　其中10对应小时，30对应分钟，00对应秒，21对应日，June对应月，2013对应年。
　　然后可以分别配置Log  Buffer、ASDM和日志服务器。
　　3）配置Log  Buffer
　　命令如下：
　　asa(config)# logging  enable
　　asa(config)# logging  buffered  informational  //配置informational级别的日志，也可以写6，表示6以上的级别（0~6级别）。
　　注：Log  Buffer 的默认大小是4KB。
　　查看Log Buffer 的命令如下：
　　asa(config)# show  logging
　　清除Log  Buffer 的命令如下：
　　asa(config)# clear  logging  buffer
　　4）配置ASDM日志
　　命令如下：
　　asa(config)# logging  enable
　　asa(config)# logging  asdm  informational
　　清除ASDM 的命令如下：
　　asa(config)# clear  logging  asdm
　　5）配置日志服务器
　　目前，有很多日志服务器软件。Firewall  Analyzer是一款基于Web的防火墙日志分析软件，利用该软件能够监控网络周边安全设备、收集和归档日志，并生成报表。Firewall  Analyzer能够帮助网络安全管理员有效监控带宽和防火墙安全事件，全面了解网络的安全状况；监控使用/未使用的防火墙策略并优化策略；通过趋势分析规划网络容量等。Firewall  Analyzer支持多种设备/厂商，支持Windows和Linux平台。
　　网络环境：
　　一台Win7作为访问者，win2008上安装有Firewall  Analyzer 6，日志服务器，中间隔着防火墙。
　　配置如下：
　　（1）在ASA防火墙的配置如下：
　　asa(config)# logging  enable
　　asa(config)#logging  timestamp  //启用时间戳
　　asa(config)# logging  trap  informational
　　asa(config)# logging  host  inside  192.168.0.1  //日志服务器的ip地址以及连接ASA的接口

　　ASA与日志服务器的通信默认使用UDP协议514端口。
　　（2）Firewall  Analyzer 6安装后，默认会启用两个SyslogServer，分别监听UDP的514端口和1514端口。首先使用Firewall  Analyzer 启动服务程序，然后使用“Firewall  Analyzer Web Client”进入用户端界面，输入初始用户名和密码。
　　（3）在主机Windows7上运行命令ping  192.168.0.1  -l  10000  -t 模拟攻击，然后在Firewall  Analyzer 的Web界面上就可以查看到相应的事件。

　　在“安全统计”下单击“查看Syslogs”可以查看详细的日志信息。

　　日志信息的格式如下：
　　%asa-Level-Message_number: Message_text
　　对其中字段的含义说明如下：
　　Level：安全级别号。
　　Message-number：日志信息的编号，以6位数字表示。
　　Message_text：对日志信息的描述。
　　注意：
　　尽管debugging级别的日志可以帮助诊断和排查网络故障，但是在应用时要非常小心。因为debugging级别的日志信息数量庞大，如果使用不当可能会对防火墙的工作造成负面影响。
　　（4）可以通过Firewall  Analyzer 的事件概要报表、安全报表生成报告。

　　四、透明模式
　　ASA安全设备可以工作在两种模式下，即路由模式和透明模式，默认情况下ASA处于路由模式。

　　1、透明模式概述
　　ASA从7.0版本开始支持透明模式。
　　在路由默认下，ASA充当一个三层设备，基于目的Ip地址转发数据包；在透明模式下，ASA充当一个二层设备，基于目的MAC地址转发数据桢（没有配置NAT时）。
　　在8.0之前的版本中，透明模式下不支持NAT，8.0及其后续版本支持NAT配置。如果配置了NAT，ASA转发数据包仍然使用路由查找。
　　处于透明模式下的ASA虽然是一个二层设备，但与交换机处理数据桢存在着不同。
　　1）对于目的MAC地址未知的单播数据桢，ASA不会泛洪而是直接丢弃。
　　2）ASA不参与STP（生成树协议）。
　　透明模式下默认允许穿越的目的MAC地址如下：
　　1）广播MAC地址：FFFF.FFFF.FFFF
　　2）Ipv4组播MAC地址从0100.5E00.0000到0100.5EFE.FFFF。
　　3）Ipv6组播MAC地址从3333.0000.0000到3333.FFFF.FFFF。
　　4）BPDU组播MAC地址：0100.0CCC.CCCD （Cisco私有）。
　　5）AppleTalk组播MAC地址从0900.0700.0000到0900.07FF.FFFF。
　　透明模式下默认允许的三层流量如下：
　　1）允许Ipv4流量自动从高级别接口到低级别接口，而不必配置ACL。
　　2）允许ARP流量双向穿越，而不必配置ACL。
　　
　　ASA在透明模式下运行时，继续使用应用层智能执行状态检测和各项常规防火墙功能，但只支持两个区域。
　　透明模式下不需要再接口上配置Ip地址，这样就不用重新设计现有的Ip网络，方便部署。
　　2、透明模式的配置
　　1）切换到透明模式
　　命令如下：
　　asa(config)# firewall  transparent
　　ciscoasa(config)#
　　需要注意的是：切换时会清除当前的配置。
　　查看当前的工作模式的命令如下：
　　ciscoasa(config)# show firewall
　　Firewall  mode: Transparent
　　如果要重新切换到路由模式，需要使用命令：no  firewall  transparent。
　　2）管理IP地址
　　需要为ASA分配一个Ip地址用于管理目的，管理Ip地址必须处于同一个连接子网。ASA将管理Ip地址用作源于ASA的分组的源Ip地址，如系统消息、AAA或SYSLOG服务器。
　　管理Ip地址的配置命令如下：
　　ciscoasa(config)#ip  address  ip地址 [子网掩码]
　　3）MAC地址表及学习
　　查看MAC地址表的命令如下：
　　ciscoasa# show  mac-address-table
　　设置动态MAC条目的过期时间（默认5分钟）的命令如下：
　　ciscoasa(config)#mac-address-table  aging-time  minutes
　　设置静态MAC条目的命令如下：
　　ciscoasa(config)# mac-address-table  static logical_if_name  mac_address
　　禁止特定接口的MAC地址学习的命令如下：
　　ciscoasa(config)# mac-learn logical_if_name disable
　　单词含义：
　　Identification：标识符； offset：偏移量； fragment：分片； inspect：检查； buffer：缓冲区； transparent：透明的； match：匹配； timezone：时区； timestamp：时间戳； MTU（Maximun Transmission Unit）：最大传送单元； teardrop：泪滴