對(duì)于防火墻產(chǎn)品來(lái)說(shuō)，最重要的一個(gè)功能就是對(duì)事件進(jìn)行日志記錄。本篇博客將介紹如何對(duì)ASA進(jìn)行日志管理與分析、ASA透明模式的原理與配置、利用ASA防火墻的IOS特性實(shí)施URL過(guò)濾。

白銀區(qū)ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景，ssl證書(shū)未來(lái)市場(chǎng)廣闊！成為創(chuàng)新互聯(lián)的ssl證書(shū)銷(xiāo)售渠道，可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話(huà)聯(lián)系或者加微信：13518219792（備注：SSL證書(shū)合作）期待與您的合作！

一、URL過(guò)濾

  利用ASA防火墻IOS的特性URL過(guò)濾可以對(duì)訪(fǎng)問(wèn)的網(wǎng)站域名進(jìn)行控制，從而達(dá)到某種管理目的。

  實(shí)施URL過(guò)濾一般分為以下三個(gè)步驟：

（1）創(chuàng)建class-map（類(lèi)映射），識(shí)別傳輸流量。

（2）創(chuàng)建policy-map（策略映射），關(guān)聯(lián)class-map。

（3）應(yīng)用policy-map到接口上。

案例：如下圖所示，實(shí)現(xiàn)網(wǎng)段192.168.1.0/24中的主機(jī)禁止訪(fǎng)問(wèn)www.4399.com，但允許訪(fǎng)問(wèn)其他網(wǎng)站，如www.163.com

配置步驟如下：

（1）配置接口IP，實(shí)現(xiàn)全網(wǎng)互通（略）

（2）創(chuàng)建class-map（類(lèi)映射），識(shí)別傳輸流量。

asa(config)# access-list aaa permit tcp 192.168.1.0 255.255.255.0 any eq www   //創(chuàng)建ACL
asa(config)# class-map aaa1            //創(chuàng)建class-map
asa(config-cmap)# match access-list aaa          //在class-map中定義允許的流量
asa(config-cmap)# exit

asa(config)# regex urla "\.4399\.com"           //定義名稱(chēng)為urla的正則表達(dá)式，表示URL擴(kuò)展名是"4399.com"
asa(config)# class-map type regex match-any urla1        //創(chuàng)建class-map，類(lèi)型為regex，match-any表示匹配任何一個(gè)
asa(config-cmap)# match regex urla                   //定義URL
asa(config-cmap)# exit

asa(config)# class-map type inspect http urla2         //創(chuàng)建class-map，類(lèi)型為inspect http(檢查http流量)
asa(config-cmap)# match request header host regex class urla1    
//在http請(qǐng)求報(bào)文頭中的host域中的URL擴(kuò)展名如果是"4399.com"，將被丟棄。regex class urla1表示調(diào)用名稱(chēng)為urla1的class-map

（3）創(chuàng)建policy-map（策略映射），關(guān)聯(lián)class-map。

asa(config)# policy-map type inspect http policy1      //創(chuàng)建policy-map，類(lèi)型為inspect http(檢查http流量)
asa(config-pmap)# class urla2                  //調(diào)用之前創(chuàng)建的class-map
asa(config-pmap-c)# drop-connection log         //drop數(shù)據(jù)包且關(guān)閉連接，并發(fā)送系統(tǒng)日志

asa(config)# policy-map policy2                //創(chuàng)建policy-map，將應(yīng)用到接口
asa(config-pmap)# class aaa1                //調(diào)用之前創(chuàng)建的class-map
asa(config-pmap-c)# inspect http policy1           //檢查http流量

（4）應(yīng)用policy-map到接口上。

asa(config)# service-policy policy2 interface inside

注意：一個(gè)接口只能應(yīng)用一個(gè)policy-map。

二、日志管理

  對(duì)于任何防火墻產(chǎn)品來(lái)說(shuō)，最重要的功能之一就是對(duì)事件進(jìn)行日志記錄，ASA使用同步日志（syslog）來(lái)記錄在防火墻上發(fā)生的所有事件。

1.日志信息的安全級(jí)別

  日志信息的安全級(jí)別分為八個(gè)等級(jí)，如圖所示：

  信息的緊急程度按照重要性從高到低排列，emergencies（非常緊急）的重要性最高，而debugging（調(diào)試）的重要性最低。

2.配置日志

  日志信息可以輸出到Log Buffer（日志緩沖區(qū)）、ASDM和日志服務(wù)器。

  在配置日志前，一般需要先配置時(shí)區(qū)和時(shí)間，配置如下：

（1）配置時(shí)區(qū)，命令如下：

asa(config)# clock timezone peking 8

  其中peking用來(lái)指明所在時(shí)區(qū)的名字，8是指相對(duì)于國(guó)際標(biāo)準(zhǔn)時(shí)間的偏移量，這個(gè)值的取值范圍為-23…23。

（2）配置時(shí)間，命令如下：

asa(config)# clock set 19:30:00 24 Sep 2017

然后可以分別配置Log Buffer、ASDM和日志服務(wù)器。

（3）配置Log Buffer，命令如下：

asa(config)# logging enable
asa(config)# logging buffered informational  //配置日志的級(jí)別，也可以寫(xiě)6，表示6以上的級(jí)別（0-6級(jí)別）

注：Log Buffer（日志緩沖區(qū)） 的默認(rèn)大小是4KB。

asa(config)# show logging           //查看Log Buffer
asa(config)# clear logging buffer       //清除Log Buffer

（4）配置ASDM日志，命令如下：

asa(config)# logging enable
asa(config)# logging asdm informational         //表示6以上的級(jí)別 ，informational可用6表示 
asa(config)# clear logging  asdm              //清除ASDM

（5）配置日志服務(wù)器

  目前，有很多日志服務(wù)器軟件。Firewall Analyzer是一款基于Web的防火墻日志分析軟件，利用該軟件能夠監(jiān)控網(wǎng)絡(luò)周邊安全設(shè)備、收集和歸檔日志，并生成報(bào)表。Firewall Analyzer能夠幫助網(wǎng)絡(luò)安全管理員有效監(jiān)控帶寬和防火墻安全事件，全面了解網(wǎng)絡(luò)的安全狀況；監(jiān)控使用/未使用的防火墻策略并優(yōu)化策略；通過(guò)趨勢(shì)分析規(guī)劃網(wǎng)絡(luò)容量等。Firewall Analyzer支持多種設(shè)備/廠(chǎng)商，支持Windows和Linux平臺(tái)。

案例：如下圖所示，在win 2008上安裝Firewall Analyzer 6

①在ASA防火墻的配置如下：

asa(config)# logging enable
asa(config)# logging timestamp         //啟用時(shí)間戳
asa(config)# logging trap informational
asa(config)# logging host inside 192.168.0.1    //定義日志服務(wù)器的IP地址以及ASA的接口

  ASA與日志服務(wù)器的通信默認(rèn)使用UDP協(xié)議514端口。

②Firewall Analyzer 6安裝后，默認(rèn)會(huì)啟用兩個(gè)SyslogServer，分別監(jiān)聽(tīng)UDP的514端口和1514端口。首先使用Firewall Analyzer 啟動(dòng)服務(wù)程序，然后使用“Firewall Analyzer Web Client”進(jìn)入用戶(hù)端界面，輸入初始用戶(hù)名和密碼。

③在主機(jī)Windows7上運(yùn)行命令ping  192.168.0.1  -l  10000  -t 模擬***，然后在Firewall  Analyzer的Web界面上就可以查看到相應(yīng)的事件。

  在“安全統(tǒng)計(jì)”下單擊“查看Syslogs”可以查看詳細(xì)的日志信息。

④可以通過(guò)Firewall Analyzer的事件概要報(bào)表、安全報(bào)表生成報(bào)告。

三、透明模式

  ASA安全設(shè)備可以工作在兩種模式下，即路由模式和透明模式，默認(rèn)情況下ASA處于路由模式。

1.透明模式

  ASA從7.0版本開(kāi)始支持透明模式。

  在路由默認(rèn)下，ASA充當(dāng)一個(gè)三層設(shè)備，基于目的Ip地址轉(zhuǎn)發(fā)數(shù)據(jù)包；在透明模式下，ASA充當(dāng)一個(gè)二層設(shè)備，基于目的MAC地址轉(zhuǎn)發(fā)數(shù)據(jù)楨（沒(méi)有配置NAT時(shí)）。

  在8.0之前的版本中，透明模式下不支持NAT，8.0及其后續(xù)版本支持NAT配置。如果配置了NAT，ASA轉(zhuǎn)發(fā)數(shù)據(jù)包仍然使用路由查找。

  處于透明模式下的ASA雖然是一個(gè)二層設(shè)備，但與交換機(jī)處理數(shù)據(jù)楨存在著不同。

*對(duì)于目的MAC地址未知的單播數(shù)據(jù)楨，ASA不會(huì)泛洪而是直接丟棄。

*ASA不參與STP（生成樹(shù)協(xié)議）。

  透明模式下默認(rèn)允許穿越的目的MAC地址如下：

*廣播MAC地址：FFFF.FFFF.FFFF

*Ipv4組播MAC地址從0100.5E00.0000到0100.5EFE.FFFF。

*Ipv6組播MAC地址從3333.0000.0000到3333.FFFF.FFFF。

*BPDU組播MAC地址：0100.0CCC.CCCD （Cisco私有）。

*AppleTalk組播MAC地址從0900.0700.0000到0900.07FF.FFFF。

  透明模式下默認(rèn)允許的三層流量如下：

*允許Ipv4流量自動(dòng)從高級(jí)別接口到低級(jí)別接口，而不必配置ACL。

*允許ARP流量雙向穿越，而不必配置ACL。

  ASA在透明模式下運(yùn)行時(shí)，繼續(xù)使用應(yīng)用層智能執(zhí)行狀態(tài)檢測(cè)和各項(xiàng)常規(guī)防火墻功能，但只支持兩個(gè)區(qū)域。

  透明模式下不需要再接口上配置Ip地址，這樣就不用重新設(shè)計(jì)現(xiàn)有的Ip網(wǎng)絡(luò)，方便部署。

2.透明模式的配置

（1）切換到透明模式，命令如下：

asa(config)# firewall transparent
ciscoasa(config)#

  需要注意的是：切換時(shí)會(huì)清除當(dāng)前的配置。

  查看當(dāng)前的工作模式的命令如下：

ciscoasa(config)# show firewall

  如果要重新切換到路由模式，需要使用命令：no firewall  transparent。

（2）管理IP地址

  需要為ASA分配一個(gè)IP地址用于管理目的，管理Ip地址必須處于同一個(gè)連接子網(wǎng)。ASA將管理IP地址用作源于ASA的分組的源IP地址，如系統(tǒng)消息、AAA或SYSLOG服務(wù)器。

  管理IP地址的配置命令如下

ciscoasa(config)#ip address ip [mask]

（3）MAC地址表及學(xué)習(xí)

ciscoasa# show mac-address-table        //查看MAC地址表
ciscoasa(config)# mac-address-table aging-time minutes      //設(shè)置動(dòng)態(tài)MAC條目的過(guò)期時(shí)間（默認(rèn)5分鐘）
ciscoasa(config)# mac-address-table static logical_if_name mac_address      //設(shè)置靜態(tài)MAC條目
ciscoasa(config)# mac-learn logical_if_name disable       //禁止特定接口的MAC地址學(xué)習(xí)

案例1：如圖所示，公司為了網(wǎng)絡(luò)安全，新增了一臺(tái)防火墻，為了方便部署，將ASA配置為透明模式，管理IP地址配置為192.168.1.253

ASA的配置如下：

ciscoasa(config)# firewall transparent
ciscoasa(config)# hostname asa
asa(config)# int e0/0
asa(config-if)# no sh
asa(config-if)# nameif outside
asa(config-if)# security-level 0
asa(config)# int e0/1
asa(config-if)# no sh
asa(config-if)# nameif inside
asa(config-if)# security-level 100
asa(config-if)# exit
asa(config)# ip add 192.168.1.253 255.255.255.0       //配置管理IP地址

案例2：如下圖所示，為了增強(qiáng)托管服務(wù)器的安全，增加了一臺(tái)ASA并配置為透明模式，管理IP地址為209.165.201.1/28

ASA的配置如下：

ciscoasa(config)# firewall transparent
ciscoasa(config)# hostname asa
asa(config)# int e0/0
asa(config-if)# no shut
asa(config-if)# int e0/0.10
asa(config-if)# vlan 10
asa(config-if)# nameif inside
asa(config-if)# int e0/0.20
asa(config-if)# vlan 20
asa(config-if)# nameif outside
asa(config)# ip add 209.165.201.1 255.255.255.240
asa(config)# access-list ysf permit icmp any any 
asa(config)# access-list ysf permit tcp any any eq 80
asa(config)# access-list ysf permit tcp any any eq 21
asa(config)# access-list ysf permit tcp any any eq 25
asa(config)# access-list ysf deny ip any any
asa(config)# access-group ysf in interface outside

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

文章名稱(chēng)：防火墻（ASA）高級(jí)配置之URL過(guò)濾、日志管理、透明模式-創(chuàng)新互聯(lián)
本文URL：http://m.newbst.com/article16/ccjggg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營(yíng)銷(xiāo)推廣、網(wǎng)站內(nèi)鏈、關(guān)鍵詞優(yōu)化、電子商務(wù)、微信公眾號(hào)、動(dòng)態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)