版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第2章
防火墙技术与入侵防御技术任务2.6控制主机对外网的访问编著:
秦燊劳翠金
计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开,并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫,入侵检测或入侵防御系统(IDS或IPS)则可看作监视器,它可以时刻监视网络中是否有异常流量并及时阻断,进一步保护网络的安全。
本章以思科ASAv为例,介绍防火墙的基本操作与应用,以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图
为了提高企业网络的安全性,引入了ASAv,并将网络划分成受信任的内网区域、对外提供服务的DMZ区域,不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中,对外提供服务的WEB服务器放在停火区(DMZ区域)中,内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器,DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能,需要对ASAv进行以下基本配置:1.配置接口,ping通ASAv。ping能到达防火墙,但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。(1)使内网用户能访问外网的网站;(2)使内网用户能访问DMZ区域的网站;(3)使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。(1)控制内网-的主机只能访问域名末尾是的网站;(2)禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.6控制主机对外网的访问一、控制主机只能访问指定网站通过对ASAv防火墙进行ACL和Policy-map配置,控制内网-的主机只能访问域名末尾是的网站。下面分别通过图形界面和命令实现。1.图形界面实现的方法如下:如图2-4-2、2-4-3、2-4-6、2-4-7、2-4-8、2-4-9、2-4-10、2-4-11、2-4-12所示,在网络管理员的win7电脑上,登录进入ASAv的ASDM图形配置界面,找到Configuation>Firewall>ServicePolicyRules,点击“Add”按钮。在弹出的对话框中,Interface选择“Inside”,点击“Next”按钮,在弹出的对话框中,创建的trafficClass用默认值“Inside-Class”,勾选“SourceandDestinationIPAddress(useACL)”,点击“Next”按钮,在弹出的对话框中,Action用默认值“Match”,Source设置为“/29”,Destination设置为“any”,Service设置为“tcp/http”,点击“Next”按钮,在弹出的对话框中,勾选“HTTP”,点击“Configure...”按钮,在弹出的对话框中选择“SelectanHTTPinspectmapforfinecontroloverinspection”选项,点击“Add”按钮,在弹出的对话框中,Name命名为“policy2”,点击“Details”按钮,在弹出的对话框中,选择“Inspections”选项夹,点击“Add”按钮,在弹出的对话框中,选择“SingleMatch”选项,MatchType选择“NoMatch”选项,Criterion选择“RequestHeaderField”选项,Field的Predefined值选择“host”,Value的RegularExpression点击“Manage...”按钮自行定义,在弹出的对话框中,Name命名为“url1”,Value值设置为“\.lcvc\.cn”,用来代表以“”结尾的网址,多次点击“OK”按钮,完成配置。图2-4-6图形界面开启对HTTP的监控1图2-4-7图形界面开启对HTTP的监控2图2-4-8图形界面开启对HTTP的监控3图2-4-9图形界面开启对HTTP的监控4图2-4-10图形界面开启对HTTP的监控5图2-4-11图形界面开启对HTTP的监控6图2-4-12图形界面开启对HTTP的监控72.与图形界面相同功能的命令如下:access-listfilter1extendedpermittcp48anyeqwwwclass-mapclass1matchaccess-listfilter1//class1用于匹配IP地址属于-的主机。regexurl1"\.lcvc\.cn"//正则表达式url1用于匹配“.”。class-maptypeinspecthttpmatch-allclass2matchnotrequestheaderhostregexurl1//class2用于匹配不是以“.”结尾的网站。policy-maptypeinspecthttppolicy1classclass2drop-connectionlog//对于符合class2条件的网站,即不以“.”结尾的网站,拒绝其连接并做日志记录。policy-mappolicy2classclass1inspecthttppolicy1//对于符合class1条件的主机,即IP地址属于-的主机,调用policy1这条policy-map。service-policypolicy2interfaceInside//将policy2应用到Inside接口上。3.测试内网-的主机能否访问外网和这两个网站。(1)在内网主机上测试。为避免上次实验缓存对本次测试的影响,先关闭浏览器,再重新打开浏览器。(2)在浏览器上,输入,可正常访问。(3)在浏览器上,输入,无法访问。4.测试内网不属于-的主机能否访问外网和这两个网站。(1)将内网主机的地址改为。(2)为避免上次实验缓存对本次测试的影响,先关闭浏览器,再重新打开浏览器。(3)在浏览器上,输入,可正常访问。(4)在浏览器上,输入,可正常访问。二、禁止主机访问指定网站禁止内网的所有主机访问域名末尾是的网站,图形界面的配置请读者参看前例自行完成,用命令行配置的方法如下:1.在ASAv防火墙上,输入以下命令:access-listfilter2extendedpermittcpanyanyeqwwwclass-mapclass3matchaccess-listfilter2regexurl2"\.game\.com"class-maptypeinspecthttpmatch-allclass4matchrequestheaderhostregexurl2policy-maptypeinspecthttppolicy3classclass4drop-connectionlogpolicy-mappolicy2classclass3inspecthttppolicy3//policy2已经在上例中应用到了Inside接口上,因此,不需要再次执行service-policypolicy2interfaceInside命令。2.测试内网IP地址不属于-范围的主机能否正常访问外网和这两个网站。我们以IP地址为的主机进行测试:(1)为避免上次实验缓存对本次测试的影响,先关闭浏览器,再重新打开浏
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- DB14-T 2763-2023 知母生产技术规程
- 【高效备课】人教版物理九(上) 第十三章 内能 第3节 比热容 第1课时 比热容的概念及理解(教案)
- 如何审时度势巧妙平衡-家族办公室与私人财富管理格局多变
- 《小二黑结婚(节选)》课件+2023-2024学年统编版高中语文选择性必修中册
- 4人出资协议书范本
- 3人合伙开美容店协议书范文
- 易燃易爆品的安全使用
- 新乡经开区杨屯、大兴城中村改造项目可行性研究报告
- 饲料加工工艺流程单选题100道及答案解析
- 江西省2025届高三上学期10月阶段检测考语文试卷含答案
- 消费者购买商品的心理过程讲解(认知过程、情感过程)
- 三年级上册英语说课稿 全册说课稿 译林版
- 《现代汉语》(增订6版)笔记和课后习题(含考研真题)详解
- 英语主题漫谈知到章节答案智慧树2023年辽宁科技大学
- 化妆品安全技术规范
- 三峡非物质文化遗产-表演艺术选介
- 分娩镇痛制度
- 创业计划书课件PPT
- 液压泵泵体数控加工工艺工装毕业设计
- 矿业权评估师考试复习题库大全(附答案)
- RFJ05-2009 人防工程设计大样图 结构专业(JG)
评论
0/150
提交评论