ASA高级配置

• 防范IP分片.gong.击 1)IP分片的原理
  数据字段的长度最大为1500字节，这个数值被称为最大传送单元(Maximun Transmission Unit MTU)。不同的网络有不同的MTU值，如以太网的MTU值是1500字节，PPP链路的MTU值是296字节。 当IP数据报封装成帧时，必须符合帧格式的规定，如果IP数据报的总长度不大于MTU值，就可以直接封装成一个帧，如果IP数据报的总长度大于MTU值，就必须分片，然后将每一个分片封装成一个帧。 再分片。每一个分片都有它自己的IP首部，可以独立地走不同的路由，如果已经分片的数据报遇到了具有更小MTU的网络，则还可以再进行分片。 分片重装。IP数据报可以被源主机或在其路径上的任何路由器进行分片，然后每个分片经过路由到达目的主机，再进行重装。
  
  2)他们的特点 独立的IP数据 报，每个分片都是独立的IP数据报，都有一个20字节的首部 3)分片相关的IP数据包字段 标识：标识两个分片后的数据包一致表示来自同一个数据包分片 标志：判断数据是否被分片，是否存在后续分片，是否时最后一个分片，第三位是1表示还有后续分片数据，第三位是0表示最后一个分片，第二位是0表示数据包允许被分片，标志决定数据包到达目标网络是否能够重组 分片偏移量：分片后的数据在原始数据包中的位置是否发生改变
• 泪滴*** 1)主机制造虚假的IP分片导致客户端无法收到最后一个分片，目标主机不能数据包重组导致通信失败 2)Windows XP；Windows server 2003容易遭受泪滴 3)防范泪滴*** 禁用IP分片，ASA允许一个数据包默认被分24次，ASA5秒内收不到最后一个分片直接丢包

4)配置ASA禁用IP分片 ASA(config)#fragment chain 1

• URL过滤 1)URL过滤的作用 限制用户不能访问特定的网站 2)URL过滤的思路 1)创建ACL抓取走URL过滤的流量

  ASA(config)# access-list tcp_filter1 permit tcp tcp 192.168.10.0 255.255.255.0 192.168.40.0 255.255.255.0 
    2)配置URL的正则表达式
        ASA(config)# regex urll "\.kkgame\.com" 
    3)配置class-map调用ACL和定义流量检查
        1、创建class-map的名字是tcp_filter_class1
            ASA(config)# class-map tcp_filter_class1
        2、class-map调用ACL
            ASA(config-cmap)# match access-list tcp_filter1
        3、创建class-map名字是url_class1，类型是regex
            ASA(config)# class-map type regex match-any url_class1
        4、class-map调用正则表达式
            ASA(config-cmap)# match regex urll
    4)创建class-map检查http类型的流量
        1)创建class-map检查http的类型流量
            ASA(config)# class-map type inspect http http_url_class1
        2)将检查http报文的首部和定义正则表达式进行匹配
            ASA(config-cmap)# match request header host regex class url_class1
    5)创建policy-map和class-map进行关联
        1、创建policy-map名字是http_url_policy1
            ASA(config)# policy-map type inspect http http_url_policy1
        2、policy-map调用class-map，class-map的名字是http_url_class1
            ASA(config-pmap)# class http_url_class1
        3、配置匹配正则表达式的流量丢弃记录日志
            ASA(config-pmap-c)# drop-connection log 
    6)创建policy-map将policy-map应用到接口
        1、创建class-map名字是insdie_http_url_policy
            ASA(config)# policy-map inside_http_url_policy
        2、policy-map调用class-map，class-map的名字是tcp_filter_class1
            ASA(config-pmap)# class tcp_filter_class1
        3、定义检查http流量
            ASA(config-pmap-c)# inspect http http_url_policy1
    7)将policy-map应用到inside接口
            ASA(config)# service-policy inside_http_url_policy interface inside

• ASA日志安全级别范围
  
• 配置日志服务器 1)配置ASA所在的时区 ASA(config)#clock timezone peking 8 2)配置ASA的时间，2019年5月7日15：38分0秒 ASA(config)#clock set 15:38:00 7 may 2019 3)查看时间信息 ASA(config)#show clock
• 配置日志监控 1)配置log buffer ASA(config)#logging enable 2)启用指定的日志安全级别 ASA(config)#logging buffered informational 3)查看日志服务器的配置 ASA(config)#show logging
• 将日志上传到指定的日志服务器 1)配置时间戳，从现在开始日志上传到服务器 ASA(config)#logging timestamp 2)配置向日志服务器传输日志信息为提示信息，可以传输0~7日志级别 ASA(config)#logging trap informational 3)上传到指定的日志服务器 ASA(config)#logging host inside 192.168.100.10
• ASA透明模式 1)ASA支持的模式类型 路由模式：查询路由转发数据，默认工作的默认 透明模式：简称交换模式，查询MAC地址表转发数据 2)透明模式的特点

7.0版本后开始支持透明模式 8.0以后透明模式开始支持NAT功能 透明模式的防火墙不能参与生成树选举 允许IPV4高访问低，允许ARP协议双向穿越防火墙 配置透明模式不再支持DMZ区域只能设置进和出 3)模式切换到透明模式 ASA(config)#firewall transparent 4)查看ASA防火墙工作的模式 ASA(config)#show firewall 5)配置管理IP地址 ASA(config)#ip address 192.168.100.10 255.255.255.0 6)查看MAC地址缓存表 ASA(config)#show mac-address-table 7)禁止通过inside接口学习MAC地址 ASA(config)#mac-learn inside disable