目录
一.实验原理
二.实验拓扑
三.实验步骤
四.实验过程
总结
实验难度3实验的复杂性31、实验原理我们平时配置过滤数据流的ACL都是应用于接口上的,但是存在着如果多个接口有相同的需求会怎么样的问题。 将相关的ACL应用于各自的接口。 这样可以准确地过滤定义的数据流量。 但是,其结果是设备资源的消耗。 对于某些高端设备,这些资源的消耗并不重要,但对于负载较小的中低端设备,这些资源将非常宝贵。 要解决这些问题,请使用全局ACL。 全球ACL的特征如下。
1.不需要把相关的安全访问控制策略应用到每个接口,所以它是可以节省内存的;
2.在部署相关安全策略时,它具有比较大的灵活性,因为它是不需要指定哪个数据包从哪个一个方向进入,然后又往哪个方向出去,它只需要匹配源和目的IP地址就可以了。
3.方便从其他防火墙迁移到ASA,从而可以继续维护全局访问规则,不需要为每个接口配置特定的访问策略。
urpf (unicastreversepathforwarding )、单播反向路径转发技术是防止IP地址伪装的技术。 IP地址伪装防御的形象如下。
ASA防火墙的URPF技术相关特征如下。
1.uRPF默认在防火墙上是禁止的;
2.它只是检查流中的首个包(可以状态化处理的协议,如TCP/UDP等协议);
3.ASA防火墙它是使用路由器来确认源IP地址的(它是采用严格uRPF模式的,不同于路由器,它是没有宽松模式的);
ASA的shunning技术用于丢弃从特定主机发送的包,配置规则如下:
1.手动配置或被IPS动态配置
2.覆盖所有的接口访问规则
3.重启之后它的作用就会消失
4.用于对某个事件紧急响应时作用
二.实验拓扑
三、实验步骤1 .构建图示网络拓扑;
2 .初始化路由器并配置相应的IP地址;
3.asa初始相关参数配置:
防火墙的名字是ASA
接口名称安全级别IP地址G0 inside 100192.168.100.254/24 G1 dmz 50192.168.200.254/24g2outside 050.100.200.254 /
4 .三个区域中的路由器设备都配置了默认路由,下一跳指向ASA防火墙;
5 .在dmz路由器上配置以下相关远程telnet信息:
特权密码: ccie
用户名/密码: sec/ccie
6 .配置全局ACL。 具体需求如下。
>ACL名称:gACLl
允许所有ICMP与Telnet流量经过防火墙
7.配置ACL,在inside接口入方向Deny Telnet流量;
8.在ASA上配置一条默认路由,下一跳指向outside路由器接口IP地址,在outside路由器上配置一个环回口,IP地址为192.168.100.1/24,启用ASA的uRPF功能;
9.使用shunning技术来丢弃telnet源IP数据包。
四、实验过程1.搭建如图所示的网络拓扑;
可以使用GNS3或EVE来搭建,过程略。
2.初始化路由器,配置相应的IP地址;
inside路由器:
dmz路由器:
outside路由器:
3.配置ASA的初始相关参数:
防火墙的名称为ASA
接口接口名称安全级别IP地址G0inside100192.168.100.254/24G1dmz50192.168.200.254/24G2outside050.100.200.254/24
测试直连网络的连通性:
4.三个区域的路由器设备都配置一条默认路由,下一跳指向ASA防火墙;
5.在dmz路由器上配置如下相关的远程telnet信息:
特权密码:ccie
用户名/密码:sec/ccie
6.配置全局ACL,具体需求如下:
ACL名称:gACL
允许所有ICMP与Telnet流量经过防火墙
测试:
inside路由器
outside路由器:
7.配置ACL,在inside接口入方向Deny Telnet流量
测试:
注意:
当同时存在全局ACL与接口ACL时,接口ACL的优先级是大于全局ACL的。
8.在ASA上配置一条默认路由,下一跳指向outside路由器接口IP地址,在outside路由器上配置一个环回口,IP地址为192.168.100.1/24,启用ASA的uRPF功能;
我们在ASA上开启ASA的日志功能:
现在我们来验证一下这个uRPF功能:
现在我们来看看防火墙的日志信息,它是提示ICMP反向路径检查后,显示的一个拒绝行为,所以outside路由器带192.168.100.1这个源IP地址去ping防火墙接口是不可行的。
9.使用shunning技术来丢弃telnet源IP数据包。
1)在outside路由器上进行telnet防火墙
2)使用shunning技术中断穿越ASA的telnet连接
3)相关查看命令
代码解析:
ASA(config)# access-group global global //应用全局ACL global,第一个global为ACL名称,第二个global为应用全局ACL
ASA(config)# ip verify reverse-path interface outside //在outside接口启用uRPF功能
logging enable //启用日志信息显示功能
logging console debugging //将debugging日志信息通过console控制台显示出来
ASA(config)# shun 50.100.200.1 //中断或避开50.100.200.1这个源IP地址的连接
ASA(config)# show shun statistics //查看shun的状态,这里有三个接口,其中应用到shun的是outside接口
inside=OFF, cnt=0
dmz=OFF, cnt=0
outside=ON, cnt=0
Shun 50.100.200.1 cnt=0, time=(0:02:26)
ASA(config)# show shun //查看shun条目
shun (outside) 50.100.200.1 0.0.0.0 0 0 0
ASA(config)# clear shun //清除shun的连接
本章节的内容介绍了全局ACL/uRPF/shunning技术,这些技术的难度相当来说是偏向中等,记得多敲几遍这些实验,不然很容易忘记命令的。好了,我们在下一个章节再见,加油!