cosic防火墙asa.pptVIP

URL过滤—拒绝与工作无关的网站 URL过滤—只允许与工作相关的网站 * * 指导子阶段： 1、教师讲解实现思路。 练习子阶段： 1、在实验过程中，教师应及时帮助学员解决实验中遇到的问题。 2、对于常见的、典型的问题，教师应该向所有学员强调，并说明如何避免、如何解决，及时总结学员遇到的问题。 3、为提高实验效率，教师可以让先作完的学员辅导没有完成的学员。教师也可以重点辅导基础差的学员。 4、在实验完成后，教师必须对实验中出现的共性问题进行总结，提示学员注意。 * 教员需说明防火墙接口并不是只能配置3个名称，名称可以随便指定，但出inside之外所有区域默认安全级别为0 注意：5505大多数版本只支持两个区域，如果配置了inside和outside将无法指定dmz区，选购设备应该注意 教员讲解5505和5510上关于接口配置的区别 * 这里主要是安全方面的设计考虑，因为防火墙各个接口对应不同安全级别的网络，所以路由从哪个接口出去必须明确指定。 * “0 0”代表 ，即所有地址，在配置默认路由时也可以这样写 这种方面配置不需要演示，简单讲解即可，目前很少用到，有时候没有SSH的工具，可以临时在内网使用telnet配置。 此处可以不演示 * 这里作为3种方式中最重要的一种进行讲解，建议教员演示此种方式，按照PPT配置完成后需要输入用户名和密码，这里应该重点提醒学员用户名默认为pix，密码则是课程开始是配置的远程登录密码“passwd 密码”。相关查询命令有show ssh session show crypto key mypubkey rsa （查看产生的rsa密钥） asa#sh crypto key mypubkey rsa Key pair was generated at: 14:37:47 UTC Jun 12 2010 Key name: Default-RSA-Key Usage: General Purpose Key Modulus Size (bits): 1024 Key Data: 30819f30 0d06092a 864886f7 0d0101018d00308100cd9fb3 831e0fdd 91da59dd 62207a1c 0336f253 0878615c 56a9cc47 e79f9f5b 8bf22eae 2da28736 affec8e9 09f63761 87b423ac e72b1355 a474b137 b89edc49 5d39f05d f12ecada cf74f140 c5f8df62 c164a720 848cf278 8766c8e2 2a4ac6e8 c3bd9d78 3f871f6a c0c044b6 f559497e a3f3135c d76c9a0c 560536c1 c5a527b80001 通过crypto key zeroize rsa命令可以清除所有产生的密钥 扩展内容： 通过username 用户名 password 密码可以配置用户名和密码，就不用默认使用pix当用户名了，但是需要通过AAA对ssh做一个本地认证，具体命令如下： aaa authentication ssh console LOCAL(这里必须大写) * 首先强调此种配置方式简单讲解即可，不强制配置演示 课程后续内容均以命令行模式讲授，所以此种配置模式不是重点 实际工作可能会应用到此种模式，但由于ASDM配置界面都是英文的，对学员来说可能会带来更多的麻烦，所以课程设计最后考虑采用命令行的方式讲解 * 讲解完PPT的内容，可以询问学员书上的关于inside和dmz转换的例子，并讲解地址池如何配置 * 具体要看拒绝的多还是允许的多，一般情况采用拒绝的思路实现比较多。想公司很多情况都会限制员工访问淘宝、开心农场等网站，都会采用第一种思路实现。 * 基本威胁检测定义了攻击的阈值，以此来界定攻击与正常流量，详细内容可以查看cisco网站，有详细说明 * 防火墙默认会对所收到的分片进行预重组，也就是在转发分片前先重组并检测其内部是否存在问题，如果有问题将直接丢弃数据报文，例如泪滴攻击。还有一种攻击可以绕过防火墙的端口限制，也是利用分片攻击，数据报文的目标端口号是被禁用的，但通过将数据分片就可以绕过防火墙，这也是防火墙进行预重组最根本的原因。 这里参数为1表示不允许分片通过，因为防火墙要进行预重组，所有重组失败的分片都会被丢弃，如果只收到1个分片又怎么可能重组成功呢？所以参数设为1，表示不允许任何分片通过。 URL过滤 * 第一层 asa802(config)# acces