2. 程式人生 > >11-思科防火墻:MPF基本狀態監控特性

11-思科防火墻:MPF基本狀態監控特性

阿新 發佈:2018-07-07
net oba 路由 cmp sid clas eset escape ffffff

一、實驗拓撲:
技術分享圖片
二、實驗要求:
ICMP默認是沒有監控的,所以R2 Ping R1不通(註意:R1、R2分別有默認路由下一跳為對應的ASA接口地址);
原因:有很多原因,R1開啟Debug,查看Ping包是否可以到達R1;
能到達說明ASA沒有監控ICMP,沒有狀態化信息;TCP默認是監控的,有狀態化信息,記錄源目IP、源目端口等這些信息,形成映射,所以回包的時候會對比這些映射信息,符合就放行了。ICMP這裏流量出去的時候ASA沒有記錄狀態化信息,沒有形成映射,所以回包的時候沒法對比,沒法對比就丟掉了。(面試出場概率很高的)
這種情況是可以調整的,做一個例外,這樣ASA就會監控ICMP了。
三、命令部署:
1、ASA上查看默認策略:
ASA# show run
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
TCP和UDP是例外的,不在該範圍之內的;ftp是動態應用,雖然有TCP的22、23端口,但是它的流量都是臨時產生的;FTP必須有用戶名和密碼的登錄;這就是動態的交互,也就是TCP上有特殊字段會被標記的,標記部分沒有告知ASA放行的話,ASA是不識別的,所以FTP比較特殊,這裏仍讓能看到FTP的檢測。
默認不能寫Inspect gre/esp,但是Inspect icmp是有的。
2、默認列表裏有的,直接添加就可以,比如ICMP:
ASA(config)# policy-map global_policy //默認ASA有的global_policy
ASA(config-pmap)# class inspection_default //默認監控
ASA(config-pmap-c)# inspect icmp //增加icmp監控

3、默認列表沒有的,創建一個就可以,比如增加對GRE的監控:
ASA(config)# access-list gre permit gre any any //ACL名字為gre,抓取gre流量

ASA(config)# class-map aa //class-map名字為aa
ASA(config-cmap)# match access-list gre //匹配access-list gre流量

ASA(config)# policy-map bb //policy-map名字為bb
ASA(config-pmap)# class aa //匹配名字為aa的class
ASA(config-pmap-c)# inspect ipsec-pass-thru //開啟檢測

ASA(config-pmap)# service-policy bb interface inside//在接口下應用,一個接口只能應用一個,和ACL類似,所以應用多個會報錯的
四、驗證:
1、R2的Ping可以到達R1,並且R1可以發送Echo Reply:
R1#debug ip icmp
ICMP packet debugging is on
R1#
*Mar 1 00:56:26.931: ICMP: echo reply sent, src 202.100.1.1, dst 10.1.1.2
2、在policy-map global_policy添加監控ICMP後:R2 可以Ping通R1
R2#ping 202.100.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.1.1, timeout is 2 seconds:!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/52/84 ms
3、再次查看Policy-map,會看到增加很多東西:
ASA(config)# show run policy-map
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map bb
class aa
inspect ipsec-pass-thru
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
!

11-思科防火墻:MPF基本狀態監控特性

相關推薦

11-防火MPF基本狀態監控特性

net oba 路由 cmp sid clas eset escape ffffff 一、實驗拓撲:二、實驗要求:ICMP默認是沒有監控的,所以R2 Ping R1不通(註意:R1、R2分別有默認路由下一跳為對應的ASA接口地址);原因:有很多原因,R1開啟Debug,查看

16-防火MPF運用層策略

ive 圖片 show www cisc 技術 http out 技術分享 一、實驗拓撲:二、實驗要求:1、R1開啟http服務;2、W7輸入R1的IP地址,更改文件地址就可以;3、文件地址在:C-Windows-System32-drivers-etc-host;屬性可以

23-防火ASA Twice NAT

not ica hab -m esp log bject password nag 一、實驗拓撲:Twice NAT好處:可以節省主機或者路由器的配置,R1可以不需要有默認路由,R2(PC)可以不寫網關;二、實驗要求:1、當Inside網絡10.1.1.0/24,去往Out

6-防火ASA中Object-group在ACL中的應用

sha 在一起 access 5.0 實驗 服務組 alt inter color 一、實驗拓撲:二、實驗要求:先定義幾個小的,然後用大的包在一起;打包在一起,這就是所謂的嵌套,嵌套在編程裏是很長用的東西,叫做Object-group;Object-group比較強大,可以

9-防火Cut ThroughTelnet穿越認證

cat img seconds 服務 tcp term second .com toc 一、實驗拓撲:二、實驗要求:ASA聯動外部產品ACS做一個認證,通過這種方式控制內部用戶的流量;其實還可以做授權、審計。有時候單單抓流量控制是不方便的,因為可能該網絡有很多用戶連接,比如

7-防火ASA配置:Global ACL(CLI)

color vpd ima dac fig net shadow out pro 一、實驗拓撲:二、實驗要求:1、ACL抓取Telnet、ICMP流量並放行,在全局下應用:2、做完以後,R1去telnetR2、R3看是否可行?3、ACL抓取Telnet流量並拒絕;在接口Ou

8-防火Cisco ASA uRPF運用

path 屬於 -o log 防火墻 51cto shadow ima ext 一、實驗拓撲:二、實驗要求:1、面試:怎樣有效的去防止地址欺騙技術?配URPF三、命令部署:ASA(config)# ip verify reverse-path interface outsi

19-防火ASA靜態NAT

思科防火墻 net 51cto flag 遠程管理 extend show user roc face 一、實驗拓撲:二、實驗要求:前提:R1、R2、R3分別有默認路由指向ASA對應的接口地址1、R1直接Telnet R3轉化後的地址,就可以成功進入R3界面;2、這時候流量

27-防火A/S實驗

firewall 同步 拓撲 sco process 鏈路 信息 proc wall 一、實驗拓撲:二、實驗要求:1、2個ASA模式都為單模式、路由模式; 三、命令部署:1、基本配置:路由器基本配置:R1(config)#int f0/0R1(config-if)#no s

24-防火ASA透明防火實驗

分享 防火墻 sin out 三層 router cisco gns 會有 一、實驗拓撲:二、實驗要求:1、show mode:單模式;show firewall:路由模式——>firewall transparent;ASA清除所有配置;切換透明模式是不需要重啟的;

28-防火狀態化AA

1.3 mod host lena pro 思科防火墻 link ip地址 let 一、實驗拓撲:二、實驗要求:1、2個ASA都為多模式、路由模式;2、ASA1、ASA2打開5個接口:no shutdown;因為都要做子防火墻;3、2個ASA的子防火墻的配置其實是一摸一樣的

18-防火ASA動態NAT實驗二

config acc 臺電腦 water outside 登錄 存在 sub password 一、實驗拓撲:二、實驗要求:1、配置動態PAT,轉換Inside網段到DMZ地址10.1.2.1002、配置動態NAT,轉換Inside網絡到Outside地址池202.100.

22-防火Dynamic Identity NAT、Static Identity NAT

size com ... ear http in use password term sed 一、實驗拓撲:二、實驗要求:實驗一:Dinamic Identity NATR1、R2都有默認路由,下一跳為ASA對應的接口地址。實驗二:Static Identity NAT三、

14-防火ASA對IP分片的處理

方式 acc trying sha 遠程 bcf 分片 images 通過 一、實驗拓撲:二、實驗要求:1、R2開啟80的流量;2、R1采用http方式遠程登錄R2;R1#telnet 10.1.1.2 80:本來應該是Telnet流量,然後變成了80流量;3、抓包驗證:是

21-防火ASA端口PAT

-o mark tin http static 遠程 cati password 技術 一、實驗拓撲:二、實驗要求:1、外網去訪問內網,只需要訪問相應的NAT帶上端口號,就可以訪問相應的主機。2、將InsideR2主機轉換為Outside地址202.100.1.101並攜帶

26-防火多模式防火實驗

glob seq 是否 cte echo cati disk 我們 percent 一、實驗拓撲: 二、實驗要求:1、切換到多模式、路由模式,ASA多模式在接口下沒法配IP地址(同理透明模式也一樣),只能在子防火墻下配置;2、ASA接口no shutdown,然後創建子防火

防火基本配置思路及命令

3.0 主機 11.2 shu 註意事項 tcp 登陸 開啟 使用 修改防火墻名稱 config# hostname xxxx 配置特權密碼 config# enable password xxxx 遠程登陸密碼 config# password xxxx 配置接口名稱

基於組播的VXLAN基本配置

vxlan基於思科組播的VXLAN基本配置圖一:目的:基於組播的VXLAN基本配置,實現overlay網絡誇三層的二層互通。基礎配置接口配置:Spine(config)#interface loopback 0Spine(config-if)#ip address10.0.0.1 255.255.255.25

三層交換DHCP基本配置

dy實驗拓撲圖一臺三層交換機和四臺ServerDHCP的基本配置DHCP#DHCP#VLAN DAtabase DHCP(vlan)#vlan 10VLAN 10 added: Name: VLAN0010DHCP(vlan)#vlan 20VLAN 20 added: Name: VLAN002

Linux防火iptables禁IP與解封IP常用命令

for ip訪問 如果 攻擊 AD table cto dos mac地址 在Linux下,使用ipteables來維護IP規則表。要封停或者是解封IP,其實就是在IP規則表中對入站部分的規則進行添加操作。 要封停一個IP,使用下面這條命令: iptables -I INP