思科防火墙高级应用
创始人
2024-04-12 15:02:03

♥️作者:小刘在C站

♥️每天分享云计算网络运维课堂笔记,一起努力,共赴美好人生!

♥️夕阳下,是最美的,绽放。

目录

一.防范ip 分片攻击

二.分片的特点

三.步骤:

  四.创建 class-map  识别传输流量

五.  创建正则表达式

六.  创建 类映射 类型为 inspect  http(检查http 流量)

七.  创建 policy-map策略映射  关联 class-map类映射

八.   创建策略映射


思科防火墙高级应用

一.防范ip 分片攻击

   ip 分片的原理

每个路由器都有一个最大传输单元,就是最大传输的数据的字节数

可能每个路由器都不同,那么路由器发往下一个路由器时就需要考虑是否满足下一个路由器的最大传输单元。当不满足时 需要对数据重新分片。

所以在ipv4地址的数据包, 每个经过的路由器都会对数据重新组合在分片。

二.分片的特点

   独立的ip 数据包,每个被分片的数据都是独立的ip 数据包,都有首部20字节

   标识,同一个数据被分片后,会标识相同的标识符

   标志 共三位, 第三位MF  1 表示后续还有分片, 0表示这个分片为最后一个分片

                 第二位DF  0 表示允许分片  1 表示不允许分片

                 第一位保留

  分片偏移量, 分片之后的数据如何重组呢 到底哪个时在前,哪个排在后面,偏移量来解决这个问题

ip 分片的安全,早期 通过偏移量违法 做 泪滴攻击

防范ip 分片

  asa(config)#fragment  chain  1

URL 过滤

   可以对访问网站的域名进行控制,需要使用类映射和策略

三.步骤:

    创建 class-map  类映射  识别传输流量

    创建 policy-map  策略映射 关联 class-map

    应用 policy-map 到接口上

实例:

   主机上两个网站 主机名相同,域名不同,通过url 过滤 只允许访问 163.com 而不允许访问 kkgame

     172.16.0.1    www.163.com

     172.16.0.1    www.kkgame.com

  四.创建 class-map  识别传输流量

     asa(config)#access-list  tcp_filter1  permit  tcp  192.168.1.0  255.255.255.0  any  eq  80

     asa(config)#class-map  tcp_filter_class1

     asa(config-cmp)#match  access-list  tcp_filter1

     asa(config-cmp)#exit

五.  创建正则表达式

     asa(config)#regex  url1 “\.kkgame\.com”

  创建 类映射 类型为 regex(正则表达式)

     asa(config)#class-map  type  regex  match-any   url_class1

     asa(config-cmap)#match  regex  url1

六.  创建 类映射 类型为 inspect  http(检查http 流量)

     asa(config)#class-map  type  inspect  http  http_url_class1

     asa(config-cmap)#match  request  header  host  regex  class  url_class1

     asa(config-cmap)#exit

七.  创建 policy-map策略映射  关联 class-map类映射

asa(config)#policy-map  type  inspect  http  http_url_policy1

asa(config-pmap)#class  http_url_class1

asa(config-pmap-c)#drop-connection  log

asa(config-pmap-c)#exit

asa(config-pmap)#exit

八.   创建策略映射

asa(config)#policy-map  inside_http_url_policy

asa(config-pmap)#class  tcp_filter_class1

asa(config-pmap-c)#inspect  http  http_url_policy1

asa(config-pmap-c)exit

asa(config-pmap)#exit

  将 policy-map 应用到 接口上

    asa(config)#service-policy  inside_http_url_policy  interface  inside

♥️关注,就是我创作的动力

♥️点赞,就是对我最大的认可

♥️这里是小刘,励志用心做好每一篇文章,谢谢大家

 

上一篇:ThinkPHP架构

下一篇:面向对象编程·下

相关内容

热门资讯

埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...
猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...