Cisco ASA 高级配置
一、防范IP分片攻击
1、Ip分片的原理;
2、Ip分片的安全问题;
3、防范Ip分片。
这三个问题在之前已经详细介绍过了,在此就不多介绍了。详细介绍请查看上一篇文章:IP分片原理及分析。
二、URL过滤
利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。
实施URL过滤一般分为以下三个步骤:
(1) 创建class-map (类映射),识别传输流量。
(2) 创建policy-map (策略映射),关联class-map。
(3) 应用policy-map到接口上。
注意:一个接口只能应用一个policy-map。
三、日志管理
对于任何防火墙产品来说,最重要的功能之一就是对事件进行日志记录,ASA使用同步日志(syslog)来记录在防火墙上发生的所有事件。
1、日志信息的安全级别
日志信息的安全级别分为八个等级。
信息的紧急程度按照重要性从高到低排列,emergencies(非常紧急)的重要性最高,而debugging(调试)的重要性最低。
2、配置日志
日志信息可以输出到Log Buffer(日志缓冲区)、ASDM和日志服务器。
在配置日志前,一般需要先配置时区和时间,配置如下:
1)配置时区:
命令如下:
asa(config)# clock timezone peking 8
其中peking用来指明所在时区的名字,8是指相对于国际标准时间的偏移量,这个值得取值范围为-23~23。
2)配置时间:
命令如下:
asa(config)# clock set 10:30:00 21 June 2013
其中10对应小时,30对应分钟,00对应秒,21对应日,Ju