asa 防火墙拦截了https_ASA防火墙应用端口与默认审查协议想冲突的方法

最新推荐文章于 2022-02-25 20:00:48 发布
最新推荐文章于 2022-02-25 20:00:48 发布
阅读量318 收藏
点赞数
文章标签: asa 防火墙拦截了https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39932838/article/details/111554870
版权

一.概述:

今天QQ收到一位朋友的求助,如下环境,查看了ASA的配置,策略是全通,居然无法访问,也感到困惑。

如是用GNS3搭建环境测试,在防火墙两侧进行抓包,发现TCP三次握手正常,但是位于防火墙内侧客户端发出的http get包却被防火墙丢弃了,用google 输入关键字:ASA tcp 2000搜到如下链接:

http://blog.csdn.net/yangcage/article/details/1787558

http://www.petenetlive.com/KB/Article/0000027.htm

终于明白:是因为ASA把访问外部http tcp 2000端口的流量当成了skinny协议的流量,而实际是http流量,因为两种协议流量的数据结构肯定不相同,所有当TCP三次握手完成后,后面的http应用的包被丢弃。如是进一步测试,测试分三种情况:

第一种是外部web应用的端口不在默认审查之列,比如TCP 8080;

第二种是外部web应用的端口在审查之列,但是实际应用却没有这种流量,比如TCP 2000;

第三种是外部web应用的端口在审查之列,而默认审查的协议又需要开启的情况。

二:外部web应用的端口不在默认审查之列

这种情况不需要防火墙做额外配置,按照防火墙的访问规则,inside就可以直通通过http://202.100.1.10:8080访问outside的web服务器。

三:外部web应用的端口在默认审查之列,但是实际应用却没有这种流量

比如外部web端口为2000,只需将默认的TCP 2000的skinny协议审查取消即可

policy-map global_policy

class inspection_default

no inspect skinny

四:外部web应用的端口在默认审查之列,实际应用也有这种流量

比如外部web端口为TCP 2000,而实际情况TCP 2000 skinny协议流量也可能会有的,因此不能简单把默认的FTP审查简单的干掉完事,

如下方法不可行:

access-list tcp2000web permit tcp  any host 202.100.1.10 eq 2000

class-map tcp2000web_traffic

match access-list tcp2000web

class-map skinny_traffic

match port tcp eq 2000

policy-map tcp2000web_skinny_traffic_policy

class tcp2000web_traffic

inspect http

class skinny_traffic

inspect skinny

service-policy tcp2000web_skinny_traffic_policy interface inside

如下方法可以:(至少是内网访问http://202.100.1.10:2000是正常的,skinny没有环境进行测试)

policy-map global_policy

classinspection_default

no inspect skinny

access-list tcp2000web permit tcpany host 202.100.1.10 eq 2000

access-list skinny extended deny tcp anyhost 202.100.1.10 eq 2000

access-list skinny extended permit tcp anyany eq 20000

class-map tcp2000web_traffic

matchaccess-list tcp2000web

class-map skinny_traffic

match access-list skinny

policy-map tcp2000web_skinny_traffic_policy

class tcp2000web_traffic

inspect http

class skinny_traffic

inspect skinny

service-policy tcp2000web_skinny_traffic_policyinterface inside

但是出现个问题,我将外部202.100.1.10地址修改为202.100.1.11后,仍然能正常访问,想不明白到底是为什么,后期再研究一下policy-map。

本文来自:网络安全技术:http://www.sybell.com.cn/about/

weixin_39932838
关注
思科防火墙解析(ASA)
一起努力共同进步,为了未来一起奋斗吧!
11-20 2432
思科防火墙ASA)原理解析
【网络安全】硬件防火墙ASA
命运的旋律的博客
10-28 1219
硬件防火墙 01. 状态防火墙的认识 1.1 基本概念 状态防火墙(英语:Stateful firewall),一种能够提供状态数据包检查(stateful packet inspection,缩写为SPI)或状态查看(stateful inspection)功能的防火墙,能够持续追踪穿过这个防火墙的各种网络连接(例如TCP与UDP连接)的状态。这种防火墙被设计来区分不同连接种类下的合法数据包。只...
21-思科防火墙ASA端口PAT
weixin_33916256的博客
07-07 455
一、实验拓扑:二、实验要求:1、外网去访问内网,只需要访问相应的NAT带上端口号,就可以访问相应的主机。2、将InsideR2主机转换为Outside地址202.100.1.101并携带端口号:2323;三、命令部署:1、清除上个实验的Object配置,并查看验证:ASA(config)# clear configure objectASA(config)# show run natASA(con...
平面判断两点连线是否交叉
11-02 916
function judgeIntersect(x1,y1,x2,y2,x3,y3,x4,y4) { //快速排斥: //两个线段为对角线组成的矩形,如果这两个矩形没有重叠的部分,那么两条线段是不可能出现重叠的 //这里的确如此,这一步是判定两矩形是否相交 //1.线段ab的低点低于cd的最高点(可能重合) //2.cd的最左端小于ab的最右端(可能重合) //3.cd的最低点低于ab的最高点(加上条件1,两线段在竖直方向上重合) //4.ab的...
ASA5500系列outside接口无法登陆http,https
weixin_34235135的博客
11-28 405
问题描述:晚上打算使用ASA的ASDM软件看下设备状态,结果在DMZ接口,outside接口允许http后,均无法通过web进行登陆,修改http端口后也一样, telnet设置的端口没问题,在inside接口可以正常登陆(不要怀疑http配置,绝对没问题)后续试着在CLI下配置完SSL ***后,也不能在outside进行登陆(×××折腾了我四个小时,一直怀疑SSL ×××...
ASA防火墙
Pespi_Co1a的博客
01-03 6424
一、防火墙的四种类型 无状态包过滤(statless packet)---ACL 状态监控包过滤(stateful packet) 运用层监控和控制的状态包过滤(stateful packet filtering with application inspection and control) 代理服务器(proxy server)   #无状态包过滤 特性:(1)依赖于静态的策略来允...
ASA防火墙端口的互访规则
weixin_33814685的博客
08-26 1289
ASA防火墙中,基于安全的原因对不同的端口的安全定义也是不一样的。默认规则如下: 1、安全级别低的端口,不能访问安全级别高的端口。如outside接口安全级别为0,不能访问安全级别为100的inside接口。 2、安全级别高的端口,可以访问安全级别低的端口。如inside接口可以访问outside接口。 3、相同安全级别的都够,不可以互访。如定义两个安全级...
asa 防火墙拦截https_防火墙ASA)的基本配置与远程管理
weixin_39757739的博客
01-12 926
在目前大多数安全解决方案中,防火墙的实施是最为重要的需求,它是每个网络基础设施必要且不可分割的组成部分。这篇博客主要介绍防火墙安全算法的原理与基本配置以及远程管理防火墙的几种方式硬件与软件防火墙1.软件防火墙软件防火墙单独使用软件系统来完成防火墙功能,将软件部署到系统主机上,其安全性较硬件防火墙差,同时占用系统资源,在一定程度上影响系统性能。其一般用于单机系统或个人计算机,极少用于计算机网络,如瑞...
Cisco ASA防火墙)基本配置
weixin_33738555的博客
05-18 2374
Cisco ASA 分为软件防火墙和硬件防火墙。其中,硬件防火墙比软件防火墙更有优势:1)、硬件防火墙功能强大,且明确是为抵御威胁而设计的。2)、硬件防火墙比软件防火墙的漏洞少。Cisco 硬件防火墙技术应用于以下三个领域:1)、PIX 500 系列安全设备2)、ASA 5500 系列自适应安全设备3)、Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的防火墙服务模块Ci...
应用防火墙配置与应用场景分析
## 1.2 应用防火墙与传统防火墙的区别 应用防火墙相较于传统网络层防火墙具有更高的安全性和精细化的操作控制。传统防火墙通常只能根据网络层和传输层的信息进行过滤,而应用防火墙可以根据具体的应用协议...
ASA防火墙基本操作
qq_55707182的博客
02-25 5497
默认情况下: 1、抵达ASA防火墙的所有流量被放行 2、ASA防火墙发起的所有流量被放行 3、高安全级别低安全级别的流量被放行 4、低安全级别到高安全级别的所有流量被拒绝 1、配置安全级别,默认inside的安全级别为100,其他都为0 2、防火墙配置静态路由,开销为60 3、R1配置默认路由 4、R2配置默认路由 5、根据ASA防火墙默认规则,高安全级别到低安全级别流量被放行,但此时PC0缺无法访问PC1,原因是防火墙没有监控ICMP流量 6、 ..
ASA防火墙学习笔记2-ACL访问控制策略
weixin_33912638的博客
05-24 2197
图解Cisco ASA防火墙SSL ×××的配置
weixin_34112030的博客
01-12 221
随着现在互联网的飞速发展,企业规模也越来越大,一些分支企业、在外办公以及SOHO一族们,需要随时随地的接入到我们企业的网络中,来完成我们一些日常的工作,这时我们×××在这里就成了一个比较重要的一个角色了。 SSL ×××设备有很多。如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco ×××3002 硬件客户端或软件客户端。这极大地简化了远...
思科ASA防火墙指定范围的UDP端口映射
gsls200808的专栏
03-25 2075
由于同事有新需求,需要映射BigBlueButton视频会议的UDP端口到外网。 udp端口范围 16384-32768 之前都是单个TCP端口,这次配置还是略微不同 配置如下: #进入特权模式 en Password: ******** #进入配置模式 conf t #配置内网主机 object network serverMES238 host 10.24.12.238 exit #...
ASA Inspect
weixin_33801856的博客
02-14 555
在做ASA防火墙的时候,因某些ipsec、PPTP 流量无法穿过防火墙,找到了Inspect,使用Inspect 配合ACL,对多端口的某些协议(如FTP)进行跟踪,使其能放回相应流量。 Inpsect有2个作用,一个是对一些具有多端口号的协议进行跟踪,能自动放回一些返回的流量,第二个是安全监控,对于DNS以及HTTP等这些单端口协议,可以对协议里的一些协议字段进行...
ASA防火墙的TCP半开设置
weixin_34080951的博客
03-29 540
ASA(config)# class-map CONNS 先定义一个类ASA(config-cmap)# match any 匹配所有流量ASA(config-cmap)# policy-map CONNS 再定义一个策略ASA(config-pmap)# class CONNS 关联刚才定义的那个类ASA(config-p...
三维重建-基于Matlab实现结构光三维重建算法-优质项目分享.zip
最新发布
10-17
三维重建_基于Matlab实现结构光三维重建算法_优质项目分享
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值