《計算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》 課件 第2章-任務(wù)2.5控制穿越防火墻的流量

第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.5控制穿越防火墻的流量編著：

秦?zé)鰟诖浣?/p>

計算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實驗拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對外提供服務(wù)的WEB服務(wù)器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實現(xiàn)這些功能，需要對ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測功能。任務(wù)2.5控制穿越防火墻的流量

一、通過監(jiān)控ICMP實現(xiàn)不同區(qū)域間的互ping

ASA是狀態(tài)化監(jiān)控防火墻，通過安全級別來控制流量對防火墻的穿越。默認(rèn)情況下，高安全級別可訪問低安全級別，并監(jiān)控TCP和UDP流量，維護(hù)它們的狀態(tài)化信息。例如telnet屬于tcp流量，從內(nèi)部的高安全級別的接口去往外部低安全級別的外網(wǎng)，默認(rèn)是放行的，telnet出去的同時，防火墻記錄了telnet的狀態(tài)化信息。回來時，從低安全級別的外部接口回到高安全級別的內(nèi)部接口，默認(rèn)是不放行的，但由于記錄了從內(nèi)到外的狀態(tài)化信息，知道這是telnet返回的流量，就能放行了。

而ping不屬于防火墻默認(rèn)的狀態(tài)監(jiān)控范圍?；ハ嘀g能ping通的含義是指icmp數(shù)據(jù)包可以去到目標(biāo)，并從目標(biāo)返回。ping的時候，icmp數(shù)據(jù)包可以從高安全級別的內(nèi)網(wǎng)去往低安全級別的外網(wǎng)，但卻無法從低安全級別的外網(wǎng)返回高安全級別的內(nèi)網(wǎng)。若要使ping能穿越ASA防火墻返回，就要手動配置防火墻，讓它監(jiān)控icmp的狀態(tài)化信息。監(jiān)控icmp需要用到：service-policy、policy-map和class-map。其中：service-policy用來指定策略是對某個接口生效，還是對所有接口生效。policy-map用來指定策略的行為，如：進(jìn)行狀態(tài)化監(jiān)控、做優(yōu)先級隊列、限制連接數(shù)量等。1.命令行方式的配置，分析如下：用“showrun”命令和“class-mapinspection_default”下的“match?”命令，可以查看系統(tǒng)默認(rèn)的MPF（ModularPolicyFramework）。通過這些命令，可以看到：service-policyglobal_policyglobal ①policy-mapglobal_policy ②classinspection_default

③inspectip-options ④inspectnetbiosinspectrtspinspectsunrpcinspecttftpinspectxdmcpinspectdnspreset_dns_mapinspectftpinspecth323h225inspecth323rasinspectrshinspectesmtpinspectsqlnetinspectsipinspectskinny

⑤class-mapinspection_default ⑥matchdefault-inspection-traffic ⑦default-inspection-traffic: ⑧ctiqbe----tcp--2748diameter--tcp--3868diameter--tcp/tls--5868diameter--sctp-3868dns-------udp--53ftp-------tcp--21gtp-------udp--2123,3386h323-h225-tcp--1720h323-ras--udp--1718-1719http------tcp--80icmp------icmpils-------tcp--389ip-options-----rsvpm3ua------sctp-2905mgcp------udp--2427,2727netbios---udp--137-138radius-acct----udp--1646rpc-------udp--111rsh-------tcp--514rtsp------tcp--554sip-------tcp--5060sip-------udp--5060skinny----tcp--2000smtp------tcp--25sqlnet----tcp--1521tftp------udp--69vxlan-----udp--4789waas------tcp--1-65535xdmcp-----udp--177①service-policyglobal_policyglobal,表示系統(tǒng)默認(rèn)的global_policy生效范圍是global的，不僅僅是對某個接口生效，而是對所有接口都生效。②、③、④、⑤說明系統(tǒng)默認(rèn)的global_policy對符合class條件的流量，監(jiān)控從④到⑤之間的流量，比如ip-optons、ftp等。那么，class條件是什么呢？通過③:classinspection_default可以知道，class條件是inspection_default。通過⑥和⑦可以知道，inspection_default條件是符合default-inspection-traffic的所有流量。通過⑧可以知道，default-inspection-traffic包括DNS、FTP、ICMP等。也就是說，ICMP屬于默認(rèn)的class條件，但不屬于默認(rèn)的監(jiān)控行為，因此，只要在policy-mapglobal_policy和classinspection_default后，加上命令inspecticmp，就可以開啟對ICMP的監(jiān)控了。即先寫上這兩條默認(rèn)命令：ciscoasa(config)#policy-mapglobal_policyciscoasa(config-pmap)#classinspection_default再加上一條對ICMP監(jiān)控的命令，就可以讓ping穿越防火墻，實現(xiàn)內(nèi)網(wǎng)ping通外網(wǎng)及DMZ區(qū)域了。命令如下：ciscoasa(config-pmap-c)#inspecticmp2.也可用圖形界面進(jìn)行配置。例如，實現(xiàn)內(nèi)網(wǎng)-的電腦可以ping通外網(wǎng)和?；饏^(qū)，方法如圖2-4-2、2-4-3、2-4-4、2-4-5所示。在網(wǎng)絡(luò)管理員的win7電腦上，登錄進(jìn)入ASAv的ASDM圖形配置界面，找到Configuation>Firewall>ServicePolicyRules，點(diǎn)擊“Add”按鈕。在彈出的對話框中，Interface選擇“Inside”，點(diǎn)擊“Next”按鈕，在彈出的對話框中，創(chuàng)建的trafficClass用默認(rèn)值“Inside-Class”，勾選“SourceandDestinationIPAddress(useACL)”，點(diǎn)擊“Next”按鈕,在彈出的對話框中，Action用默認(rèn)值“Match”，Source設(shè)置為“/30”，Destination設(shè)置為“any”，Service設(shè)置為“icmp”，點(diǎn)擊“Next”按鈕，在彈出的對話框中，勾選“ICMP”，點(diǎn)擊“Finish”按鈕，點(diǎn)擊“Apply”按鈕，完成配置。圖2-4-2圖形界面開啟對ICMP或HTTP的監(jiān)控1圖2-4-3圖形界面開啟對ICMP或HTTP的監(jiān)控2圖2-4-4圖形界面開啟對ICMP的監(jiān)控1

完成以上配置后，內(nèi)網(wǎng)-的電腦可以ping通外網(wǎng)和?；饏^(qū)了。

二、通過ACL控制不同區(qū)域間互ping

除了通過監(jiān)控ICMP實現(xiàn)高安全級區(qū)