目录
| 实验难度 | 2 |
| 实验复杂度 | 2 |
一、实验原理
TTL是生存时间,也有人称它为生存周期,它是用于衡量一个数据包可以从源到目标所经过的路由器数量,每经过一个路由器这个TTL数值就会减少1,为0时就会丢弃这个数据包的,因为它的寿命到期了。当ICMP数据包经过防火墙的时候,默认情况下防火墙是不会减少TTL的数值的,当然我们也可以设置减少TTL数值这个功能。为了安全起见,很多时候,我们是不会开启这个功能的,现在我们通过实验来察看一下这个效果。
二、实验拓扑
三、实验步骤
1.搭建如图所示的网络拓扑图;
2.初始化路由器,配置相应的IP地址;
3.初始化ASA,ASA防火墙的名称为ASA,inside区域的安全级别为100,outside区域的安全级别为20,配置好IP地址;
4.路由器都配置默认路由器,下一跳指向防火墙;
5.配置匹配R2到R1的大于33433端口号的udp流量的ACL名称为R12,把R12应用到class-map中,class-map的名称为CS,然后把class-map应用到全局policy-map中,然后设置TTL减少功能。
四、实验过程
1.搭建如图所示的网络拓扑图;
使用GNS3或EVE来搭建拓扑图,过程略。
2.初始化路由器,配置相应的IP地址;
略。
3.初始化ASA,ASA防火墙的名称为ASA,inside区域的安全级别为100,outside区域的安全级别为20,配置好IP地址;
4.路由器都配置默认路由器,下一跳指向防火墙;
5.配置匹配R2到R1的大于33433端口号的udp流量的ACL名称为R12,把R12应用到class-map中,class-map的名称为CS,然后把class-map应用到全局policy-map中,然后设置TTL减少功能。
测试:
我们在R2上traceroute 192.168.1.1,然后发现可以跟踪到两个IP,说明这个ttl已经被减去了,如果,我们把这个ttl减少功能关闭的话,那么结果是如何呢?
代码解析:
ASA(config-pmap-c)# set connection decrement-ttl //设置TTL减少功能
总结
本章节简单介绍了ASA对ttl的处理,默认情况下,ASA是不减少TTL的数值的,这个对于隐藏防火墙设备来说提升了安全性,也建议大家不要开启这个功能。好了,本章节就到了这里,我们在下一个章节再见,加油!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
