《计算机网络安全防护技术（第二版）》 课件 第2章-任务2.5控制穿越防火墙的流量

第2章

防火墙技术与入侵防御技术任务2.5控制穿越防火墙的流量编著：

秦燊劳翠金

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图

为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能，需要对ASAv进行以下基本配置：1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。（1）使内网用户能访问外网的网站；（2）使内网用户能访问DMZ区域的网站；（3）使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。（1）控制内网-的主机只能访问域名末尾是的网站；（2）禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.5控制穿越防火墙的流量

一、通过监控ICMP实现不同区域间的互ping

ASA是状态化监控防火墙，通过安全级别来控制流量对防火墙的穿越。默认情况下，高安全级别可访问低安全级别，并监控TCP和UDP流量，维护它们的状态化信息。例如telnet属于tcp流量，从内部的高安全级别的接口去往外部低安全级别的外网，默认是放行的，telnet出去的同时，防火墙记录了telnet的状态化信息。回来时，从低安全级别的外部接口回到高安全级别的内部接口，默认是不放行的，但由于记录了从内到外的状态化信息，知道这是telnet返回的流量，就能放行了。

而ping不属于防火墙默认的状态监控范围。互相之间能ping通的含义是指icmp数据包可以去到目标，并从目标返回。ping的时候，icmp数据包可以从高安全级别的内网去往低安全级别的外网，但却无法从低安全级别的外网返回高安全级别的内网。若要使ping能穿越ASA防火墙返回，就要手动配置防火墙，让它监控icmp的状态化信息。监控icmp需要用到：service-policy、policy-map和class-map。其中：service-policy用来指定策略是对某个接口生效，还是对所有接口生效。policy-map用来指定策略的行为，如：进行状态化监控、做优先级队列、限制连接数量等。1.命令行方式的配置，分析如下：用“showrun”命令和“class-mapinspection_default”下的“match?”命令，可以查看系统默认的MPF（ModularPolicyFramework）。通过这些命令，可以看到：service-policyglobal_policyglobal ①policy-mapglobal_policy ②classinspection_default

③inspectip-options ④inspectnetbiosinspectrtspinspectsunrpcinspecttftpinspectxdmcpinspectdnspreset_dns_mapinspectftpinspecth323h225inspecth323rasinspectrshinspectesmtpinspectsqlnetinspectsipinspectskinny

⑤class-mapinspection_default ⑥matchdefault-inspection-traffic ⑦default-inspection-traffic: ⑧ctiqbe----tcp--2748diameter--tcp--3868diameter--tcp/tls--5868diameter--sctp-3868dns-------udp--53ftp-------tcp--21gtp-------udp--2123,3386h323-h225-tcp--1720h323-ras--udp--1718-1719http------tcp--80icmp------icmpils-------tcp--389ip-options-----rsvpm3ua------sctp-2905mgcp------udp--2427,2727netbios---udp--137-138radius-acct----udp--1646rpc-------udp--111rsh-------tcp--514rtsp------tcp--554sip-------tcp--5060sip-------udp--5060skinny----tcp--2000smtp------tcp--25sqlnet----tcp--1521tftp------udp--69vxlan-----udp--4789waas------tcp--1-65535xdmcp-----udp--177①service-policyglobal_policyglobal,表示系统默认的global_policy生效范围是global的，不仅仅是对某个接口生效，而是对所有接口都生效。②、③、④、⑤说明系统默认的global_policy对符合class条件的流量，监控从④到⑤之间的流量，比如ip-optons、ftp等。那么，class条件是什么呢？通过③:classinspection_default可以知道，class条件是inspection_default。通过⑥和⑦可以知道，inspection_default条件是符合default-inspection-traffic的所有流量。通过⑧可以知道，default-inspection-traffic包括DNS、FTP、ICMP等。也就是说，ICMP属于默认的class条件，但不属于默认的监控行为，因此，只要在policy-mapglobal_policy和classinspection_default后，加上命令inspecticmp，就可以开启对ICMP的监控了。即先写上这两条默认命令：ciscoasa(config)#policy-mapglobal_policyciscoasa(config-pmap)#classinspection_default再加上一条对ICMP监控的命令，就可以让ping穿越防火墙，实现内网ping通外网及DMZ区域了。命令如下：ciscoasa(config-pmap-c)#inspecticmp2.也可用图形界面进行配置。例如，实现内网-的电脑可以ping通外网和停火区，方法如图2-4-2、2-4-3、2-4-4、2-4-5所示。在网络管理员的win7电脑上，登录进入ASAv的ASDM图形配置界面，找到Configuation>Firewall>ServicePolicyRules，点击“Add”按钮。在弹出的对话框中，Interface选择“Inside”，点击“Next”按钮，在弹出的对话框中，创建的trafficClass用默认值“Inside-Class”，勾选“SourceandDestinationIPAddress(useACL)”，点击“Next”按钮,在弹出的对话框中，Action用默认值“Match”，Source设置为“/30”，Destination设置为“any”，Service设置为“icmp”，点击“Next”按钮，在弹出的对话框中，勾选“ICMP”，点击“Finish”按钮，点击“Apply”按钮，完成配置。图2-4-2图形界面开启对ICMP或HTTP的监控1图2-4-3图形界面开启对ICMP或HTTP的监控2图2-4-4图形界面开启对ICMP的监控1

完成以上配置后，内网-的电脑可以ping通外网和停火区了。

二、通过ACL控制不同区域间互ping

除了通过监控ICMP实现高安全级区