一、MPF基本状态监控特性
在ASA的实验中,我们最初会发现,即使有路由,也无法ping通对方,接下来我会以下面的实验简图介绍相关的内容。在ASA上,直连网络的连通性是没有问题的,R1与R2都配置了默认路由,若按照以往的路由实验,这个肯定是可以ping通的,但是在这里却不行,因为ASA本身就是一个安全产品,所有穿越它的流量都必须受到它的监控,或者网络管理员手工放行相关的流量,这个流量就是信任流量。在ASA防火墙上,默认所有的外部流量都是不受信任的,而内部去往外部的流量都是不受信任的。好了,回到下图,我们发现使用内部的R1是可以telnet R2的,但是却无法ping通它,为什么呢?这是因为防火墙有一个用于监控的状态化表项,而Telnet流量是受到监控的,在内部的telnet流量穿越它时,它是内部流量,它会被放行,接着返回telnet的回应包时,防火墙监测到这个回应包是在状态化表时存在映射关系的,所以防火墙就放行了。而ICMP协议的数据流量是没有受到监控的,所以内部的数据包可以出去,但是返回的时候,防火墙就把它们干掉了,因为它们是不受信任的外部流量。
注意:TCP、UDP这个流量默认是受监控的,所以这些类型的流量回应包都是可以穿越防火墙正常返回。
实验难度 | 2 |
实验复杂度 | 2 |
二、实验一:ASA上监控ICMP
一、实验拓扑
二、实验步骤
1.搭建如图所示的网络拓扑;
2.初始化路由器,配置好IP地址;
3.配置防火墙的名称为ASA,inside区域的安全级别为100,outside的默认为0,配置好IP地址,测试直连网络的连通性;
4.路由器配置好默认路由,在R2上开启ICMP的debug功能,然后在R1上测试ping;
5.在防火墙上配置检查ICMP协议的流量;
6.在R1上进行测试。
三、实验过程
1.搭建如图所示的网络拓扑;
略。
2.初始化路由器,配置好IP地址;
略。
3.配置防火墙的名称为ASA,inside区域的安全级别为100,outside的默认为0,配置好IP地址,测试直连网络的连通性;
4.路由器配置好默认路由,在R2上开启ICMP的debug功能,然后在R1上测试ping;
测试:
在这里我们可以看到R1的ICMP数据包是已经到达了R2,R2也已经返回数据包了,但是R1没有收到,这里因为防火墙把它当作不受信任的外来数据包干掉了。
我们show running看一下:默认会建立动态映射的协议流量还是比较多的,但是这里没有ICMP的检查表项。
5.在防火墙上配置检查ICMP协议的流量;
6.在R1上进行测试。
这里我们可以看到R1现在是可以ping通R2了,除了这个办法,我们也可以使用ACL的方法使得R1ping通R2。
现在我们来看看这个running里面的内容:会发现这里检查的协议流量多了一个ICMP
代码解释:
ASA(config-pmap)# policy-map global_policy //使用默认的policy-map
ASA(config-pmap)# class inspection_default //使用默认的Class类
ASA(config-pmap-c)# inspect icmp //检查监控的流量为ICMP
总结
这个实验的内容难度不高,这个内容类似于Qos的流量控制,在我们做路由器的相关安全策略时,也会用到这些内容,所以它是会比较实用的知识。需要放行何种协议的流量,就使用这样的方法就可以了,当然也有可能里面没有检查的协议表项,这个时候我们可以使用ACL来匹配相关的流量。好了,我们在下一个章节再见,加油!