防火墻(ASA)高級配置之URL過濾、日誌管理、透明模式
對於防火墻產品來說,最重要的一個功能就是對事件進行日誌記錄。本篇博客將介紹如何對ASA進行日誌管理與分析、ASA透明模式的原理與配置、利用ASA防火墻的IOS特性實施URL過濾。
一、URL過濾
利用ASA防火墻IOS的特性URL過濾可以對訪問的網站域名進行控制,從而達到某種管理目的。
實施URL過濾一般分為以下三個步驟:
(1)創建class-map(類映射),識別傳輸流量。
(2)創建policy-map(策略映射),關聯class-map。
(3)應用policy-map到接口上。
案例:如下圖所示,實現網段192.168.1.0/24中的主機禁止訪問www.4399.com,但允許訪問其他網站,如www.163.com
配置步驟如下:
(1)配置接口IP,實現全網互通(略)
(2)創建class-map(類映射),識別傳輸流量。
asa(config)# access-list aaa permit tcp 192.168.1.0 255.255.255.0 any eq www //創建ACL asa(config)# class-map aaa1 //創建class-map asa(config-cmap)# match access-list aaa //在class-map中定義允許的流量 asa(config-cmap)# exit asa(config)# regex urla "\.4399\.com" //定義名稱為urla的正則表達式,表示URL擴展名是"4399.com" asa(config)# class-map type regex match-any urla1 //創建class-map,類型為regex,match-any表示匹配任何一個 asa(config-cmap)# match regex urla //定義URL asa(config-cmap)# exit asa(config)# class-map type inspect http urla2 //創建class-map,類型為inspect http(檢查http流量) asa(config-cmap)# match request header host regex class urla1 //在http請求報文頭中的host域中的URL擴展名如果是"4399.com",將被丟棄。regex class urla1表示調用名稱為urla1的class-map
(3)創建policy-map(策略映射),關聯class-map。
asa(config)# policy-map type inspect http policy1 //創建policy-map,類型為inspect http(檢查http流量) asa(config-pmap)# class urla2 //調用之前創建的class-map asa(config-pmap-c)# drop-connection log //drop數據包且關閉連接,並發送系統日誌 asa(config)# policy-map policy2 //創建policy-map,將應用到接口 asa(config-pmap)# class aaa1 //調用之前創建的class-map asa(config-pmap-c)# inspect http policy1 //檢查http流量
(4)應用policy-map到接口上。
asa(config)# service-policy policy2 interface inside
註意:一個接口只能應用一個policy-map。
二、日誌管理
對於任何防火墻產品來說,最重要的功能之一就是對事件進行日誌記錄,ASA使用同步日誌(syslog)來記錄在防火墻上發生的所有事件。
1.日誌信息的安全級別
日誌信息的安全級別分為八個等級,如圖所示:
信息的緊急程度按照重要性從高到低排列,emergencies(非常緊急)的重要性最高,而debugging(調試)的重要性最低。
2.配置日誌
日誌信息可以輸出到Log Buffer(日誌緩沖區)、ASDM和日誌服務器。
在配置日誌前,一般需要先配置時區和時間,配置如下:
(1)配置時區,命令如下:
asa(config)# clock timezone peking 8
其中peking用來指明所在時區的名字,8是指相對於國際標準時間的偏移量,這個值的取值範圍為-23…23。
(2)配置時間,命令如下:
asa(config)# clock set 19:30:00 24 Sep 2017
然後可以分別配置Log Buffer、ASDM和日誌服務器。
(3)配置Log Buffer,命令如下:
asa(config)# logging enable asa(config)# logging buffered informational //配置日誌的級別,也可以寫6,表示6以上的級別(0-6級別)
註:Log Buffer(日誌緩沖區) 的默認大小是4KB。
asa(config)# show logging //查看Log Buffer asa(config)# clear logging buffer //清除Log Buffer
(4)配置ASDM日誌,命令如下:
asa(config)# logging enable asa(config)# logging asdm informational //表示6以上的級別 ,informational可用6表示 asa(config)# clear logging asdm //清除ASDM
(5)配置日誌服務器
目前,有很多日誌服務器軟件。Firewall Analyzer是一款基於Web的防火墻日誌分析軟件,利用該軟件能夠監控網絡周邊安全設備、收集和歸檔日誌,並生成報表。Firewall Analyzer能夠幫助網絡安全管理員有效監控帶寬和防火墻安全事件,全面了解網絡的安全狀況;監控使用/未使用的防火墻策略並優化策略;通過趨勢分析規劃網絡容量等。Firewall Analyzer支持多種設備/廠商,支持Windows和Linux平臺。
案例:如下圖所示,在win 2008上安裝Firewall Analyzer 6
①在ASA防火墻的配置如下:
asa(config)# logging enable asa(config)# logging timestamp //啟用時間戳 asa(config)# logging trap informational asa(config)# logging host inside 192.168.0.1 //定義日誌服務器的IP地址以及ASA的接口
ASA與日誌服務器的通信默認使用UDP協議514端口。
②Firewall Analyzer 6安裝後,默認會啟用兩個SyslogServer,分別監聽UDP的514端口和1514端口。首先使用Firewall Analyzer 啟動服務程序,然後使用“Firewall Analyzer Web Client”進入用戶端界面,輸入初始用戶名和密碼。
③在主機Windows7上運行命令ping 192.168.0.1 -l 10000 -t 模擬攻擊,然後在Firewall Analyzer的Web界面上就可以查看到相應的事件。
在“安全統計”下單擊“查看Syslogs”可以查看詳細的日誌信息。
④可以通過Firewall Analyzer的事件概要報表、安全報表生成報告。
三、透明模式
ASA安全設備可以工作在兩種模式下,即路由模式和透明模式,默認情況下ASA處於路由模式。
1.透明模式
ASA從7.0版本開始支持透明模式。
在路由默認下,ASA充當一個三層設備,基於目的Ip地址轉發數據包;在透明模式下,ASA充當一個二層設備,基於目的MAC地址轉發數據楨(沒有配置NAT時)。
在8.0之前的版本中,透明模式下不支持NAT,8.0及其後續版本支持NAT配置。如果配置了NAT,ASA轉發數據包仍然使用路由查找。
處於透明模式下的ASA雖然是一個二層設備,但與交換機處理數據楨存在著不同。
* 對於目的MAC地址未知的單播數據楨,ASA不會泛洪而是直接丟棄。
* ASA不參與STP(生成樹協議)。
透明模式下默認允許穿越的目的MAC地址如下:
* 廣播MAC地址:FFFF.FFFF.FFFF
* Ipv4組播MAC地址從0100.5E00.0000到0100.5EFE.FFFF。
* Ipv6組播MAC地址從3333.0000.0000到3333.FFFF.FFFF。
* BPDU組播MAC地址:0100.0CCC.CCCD (Cisco私有)。
* AppleTalk組播MAC地址從0900.0700.0000到0900.07FF.FFFF。
透明模式下默認允許的三層流量如下:
* 允許Ipv4流量自動從高級別接口到低級別接口,而不必配置ACL。
* 允許ARP流量雙向穿越,而不必配置ACL。
ASA在透明模式下運行時,繼續使用應用層智能執行狀態檢測和各項常規防火墻功能,但只支持兩個區域。
透明模式下不需要再接口上配置Ip地址,這樣就不用重新設計現有的Ip網絡,方便部署。
2.透明模式的配置
(1)切換到透明模式,命令如下:
asa(config)# firewall transparent ciscoasa(config)#
需要註意的是:切換時會清除當前的配置。
查看當前的工作模式的命令如下:
ciscoasa(config)# show firewall
如果要重新切換到路由模式,需要使用命令:no firewall transparent。
(2)管理IP地址
需要為ASA分配一個IP地址用於管理目的,管理Ip地址必須處於同一個連接子網。ASA將管理IP地址用作源於ASA的分組的源IP地址,如系統消息、AAA或SYSLOG服務器。
管理IP地址的配置命令如下
ciscoasa(config)#ip address ip [mask]
(3)MAC地址表及學習
ciscoasa# show mac-address-table //查看MAC地址表 ciscoasa(config)# mac-address-table aging-time minutes //設置動態MAC條目的過期時間(默認5分鐘) ciscoasa(config)# mac-address-table static logical_if_name mac_address //設置靜態MAC條目 ciscoasa(config)# mac-learn logical_if_name disable //禁止特定接口的MAC地址學習
案例1:如圖所示,公司為了網絡安全,新增了一臺防火墻,為了方便部署,將ASA配置為透明模式,管理IP地址配置為192.168.1.253
ASA的配置如下:
ciscoasa(config)# firewall transparent ciscoasa(config)# hostname asa asa(config)# int e0/0 asa(config-if)# no sh asa(config-if)# nameif outside asa(config-if)# security-level 0 asa(config)# int e0/1 asa(config-if)# no sh asa(config-if)# nameif inside asa(config-if)# security-level 100 asa(config-if)# exit asa(config)# ip add 192.168.1.253 255.255.255.0 //配置管理IP地址
案例2:如下圖所示,為了增強托管服務器的安全,增加了一臺ASA並配置為透明模式,管理IP地址為209.165.201.1/28
ASA的配置如下:
ciscoasa(config)# firewall transparent ciscoasa(config)# hostname asa asa(config)# int e0/0 asa(config-if)# no shut asa(config-if)# int e0/0.10 asa(config-if)# vlan 10 asa(config-if)# nameif inside asa(config-if)# int e0/0.20 asa(config-if)# vlan 20 asa(config-if)# nameif outside asa(config)# ip add 209.165.201.1 255.255.255.240 asa(config)# access-list ysf permit icmp any any asa(config)# access-list ysf permit tcp any any eq 80 asa(config)# access-list ysf permit tcp any any eq 21 asa(config)# access-list ysf permit tcp any any eq 25 asa(config)# access-list ysf deny ip any any asa(config)# access-group ysf in interface outside
本文出自 “楊書凡” 博客,請務必保留此出處http://yangshufan.blog.51cto.com/13004230/1968241
防火墻(ASA)高級配置之URL過濾、日誌管理、透明模式