♥️作者:小刘在C站
♥️每天分享云计算网络运维课堂笔记,一起努力,共赴美好人生!
♥️**夕阳下,是最美的,绽放。 **
思科防火墙高级应用
一.防范ip 分片攻击
ip 分片的原理
每个路由器都有一个最大传输单元,就是最大传输的数据的字节数
可能每个路由器都不同,那么路由器发往下一个路由器时就需要考虑是否满足下一个路由器的最大传输单元。当不满足时 需要对数据重新分片。
所以在ipv4地址的数据包, 每个经过的路由器都会对数据重新组合在分片。
二.分片的特点
独立的ip 数据包,每个被分片的数据都是独立的ip 数据包,都有首部20字节
标识,同一个数据被分片后,会标识相同的标识符
标志 共三位, 第三位MF 1 表示后续还有分片, 0表示这个分片为最后一个分片
第二位DF 0 表示允许分片 1 表示不允许分片
第一位保留
分片偏移量, 分片之后的数据如何重组呢 到底哪个时在前,哪个排在后面,偏移量来解决这个问题
ip 分片的安全,早期 通过偏移量违法 做 泪滴攻击
防范ip 分片
asa(config)#fragment chain 1
URL 过滤
可以对访问网站的域名进行控制,需要使用类映射和策略
三.步骤:
创建 class-map 类映射 识别传输流量
创建 policy-map 策略映射 关联 class-map
应用 policy-map 到接口上
实例:
主机上两个网站 主机名相同,域名不同,通过url 过滤 只允许访问 163.com 而不允许访问 kkgame
172.16.0.1 www.163.com
172.16.0.1 www.kkgame.com
四.创建 class-map 识别传输流量
asa(config)#access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq 80
asa(config)#class-map tcp_filter_class1
asa(config-cmp)#match access-list tcp_filter1
asa(config-cmp)#exit
五. 创建正则表达式
asa(config)#regex url1 “\.kkgame\.com”
创建 类映射 类型为 regex(正则表达式)
asa(config)#class-map type regex match-any url_class1
asa(config-cmap)#match regex url1
六. 创建 类映射 类型为 inspect http(检查http 流量)
asa(config)#class-map type inspect http http_url_class1
asa(config-cmap)#match request header host regex class url_class1
asa(config-cmap)#exit
七. 创建 policy-map策略映射 关联 class-map类映射
asa(config)#policy-map type inspect http http_url_policy1
asa(config-pmap)#class http_url_class1
asa(config-pmap-c)#drop-connection log
asa(config-pmap-c)#exit
asa(config-pmap)#exit
八. 创建策略映射
asa(config)#policy-map inside_http_url_policy
asa(config-pmap)#class tcp_filter_class1
asa(config-pmap-c)#inspect http http_url_policy1
asa(config-pmap-c)exit
asa(config-pmap)#exit
将 policy-map 应用到 接口上
asa(config)#service-policy inside_http_url_policy interface inside
♥️关注,就是我创作的动力
♥️点赞,就是对我最大的认可
♥️这里是小刘,励志用心做好每一篇文章,谢谢大家
版权归原作者 小刘在C站 所有, 如有侵权,请联系我们删除。