目录

一、实验原理

二、实验拓扑

三、实验步骤

四、实验过程

总结

实验难度 3
实验复杂度 3

一、实验原理

我们平时配置过滤数据流量的ACL都是应用在接口上的,但是有这样的一个问题,若有多个接口都有相同的需求会如何呢?我们会把相关的ACL一一应用到相应的接口上,这样可以精确的过滤我们定义的数据流量,但是这样一来就势必造成设备资源占用的情况,相对一些高端设备来说,这些资源的占用无够轻重,但是相对一些负载能力较小的中低端设备来说,这些资源都是十分可贵的。我们可以使用全局ACL来解决这些问题,全局ACL的特点如下:

1.不需要把相关的安全访问控制策略应用到每个接口,所以它是可以节省内存的;

2.在部署相关安全策略时,它具有比较大的灵活性,因为它是不需要指定哪个数据包从哪个一个方向进入,然后又往哪个方向出去,它只需要匹配源和目的IP地址就可以了。

3.方便从其他防火墙迁移到ASA,从而可以继续维护全局访问规则,不需要为每个接口配置特定的访问策略。

URPF(Unicast Reverse Path Forwarding),单播反向路径转发技术,它是一种抵御IP地址欺骗的技术。IP地址欺骗防御示意图如下:

ASA防火墙上URPF技术相关的特点如下:

1.uRPF默认在防火墙上是禁止的;

2.它只是检查流中的首个包(可以状态化处理的协议,如TCP/UDP等协议);

3.ASA防火墙它是使用路由器来确认源IP地址的(它是采用严格uRPF模式的,不同于路由器,它是没有宽松模式的);

ASA的shunning技术是用于丢弃源自于一个特性主机的数据包的,它的配置规则如下:

1.手动配置或被IPS动态配置

2.覆盖所有的接口访问规则

3.重启之后它的作用就会消失

4.用于对某个事件紧急响应时作用

二、实验拓扑

三、实验步骤

1.搭建如图所示的网络拓扑;

2.初始化路由器,配置相应的IP地址;

3.配置ASA的初始相关参数:

防火墙的名称为ASA

接口 接口名称 安全级别 IP地址
G0 inside 100 192.168.100.254/24
G1 dmz 50 192.168.200.254/24
G2 outside 0 50.100.200.254/24

4.三个区域的路由器设备都配置一条默认路由,下一跳指向ASA防火墙;

5.在dmz路由器上配置如下相关的远程telnet信息:

特权密码:ccie

用户名/密码:sec/ccie

6.配置全局ACL,具体需求如下:

ACL名称:gACLl

允许所有ICMP与Telnet流量经过防火墙

7.配置ACL,在inside接口入方向Deny Telnet流量;

8.在ASA上配置一条默认路由,下一跳指向outside路由器接口IP地址,在outside路由器上配置一个环回口,IP地址为192.168.100.1/24,启用ASA的uRPF功能;

9.使用shunning技术来丢弃telnet源IP数据包。

四、实验过程

1.搭建如图所示的网络拓扑;

可以使用GNS3或EVE来搭建,过程略。

2.初始化路由器,配置相应的IP地址;

inside路由器:

dmz路由器:

outside路由器:

3.配置ASA的初始相关参数:

防火墙的名称为ASA

接口 接口名称 安全级别 IP地址
G0 inside 100 192.168.100.254/24
G1 dmz 50 192.168.200.254/24
G2 outside 0 50.100.200.254/24

测试直连网络的连通性:

4.三个区域的路由器设备都配置一条默认路由,下一跳指向ASA防火墙;

5.在dmz路由器上配置如下相关的远程telnet信息:

特权密码:ccie

用户名/密码:sec/ccie

6.配置全局ACL,具体需求如下:

ACL名称:gACL

允许所有ICMP与Telnet流量经过防火墙

测试:

inside路由器

outside路由器:

7.配置ACL,在inside接口入方向Deny Telnet流量

测试:

注意:

当同时存在全局ACL与接口ACL时,接口ACL的优先级是大于全局ACL的。

8.在ASA上配置一条默认路由,下一跳指向outside路由器接口IP地址,在outside路由器上配置一个环回口,IP地址为192.168.100.1/24,启用ASA的uRPF功能;

我们在ASA上开启ASA的日志功能:

现在我们来验证一下这个uRPF功能:

现在我们来看看防火墙的日志信息,它是提示ICMP反向路径检查后,显示的一个拒绝行为,所以outside路由器带192.168.100.1这个源IP地址去ping防火墙接口是不可行的。

9.使用shunning技术来丢弃telnet源IP数据包。

1)在outside路由器上进行telnet防火墙

2)使用shunning技术中断穿越ASA的telnet连接

3)相关查看命令

代码解析:

ASA(config)# access-group global global   //应用全局ACL global,第一个global为ACL名称,第二个global为应用全局ACL

ASA(config)# ip verify reverse-path interface outside    //在outside接口启用uRPF功能

logging enable   //启用日志信息显示功能
logging console debugging    //将debugging日志信息通过console控制台显示出来

ASA(config)# shun 50.100.200.1   //中断或避开50.100.200.1这个源IP地址的连接

ASA(config)# show shun statistics     //查看shun的状态,这里有三个接口,其中应用到shun的是outside接口
inside=OFF, cnt=0
dmz=OFF, cnt=0
outside=ON, cnt=0

Shun 50.100.200.1 cnt=0, time=(0:02:26)
ASA(config)# show shun   //查看shun条目
shun (outside) 50.100.200.1 0.0.0.0 0 0 0
ASA(config)# clear shun      //清除shun的连接

总结

本章节的内容介绍了全局ACL/uRPF/shunning技术,这些技术的难度相当来说是偏向中等,记得多敲几遍这些实验,不然很容易忘记命令的。好了,我们在下一个章节再见,加油!

网络安全篇 全局ACL与URPF-12相关推荐

  1. 网络安全篇 浅谈学习网络安全的看法-00

    目录 一.网络与网络安全的相关概念 二.谈谈对学习网络安全的一些看法 总结 一.网络与网络安全的相关概念 关于网络与网络安全这两个概念,我想有很多朋友或者是工作多年的工程师也说不清楚,因为两个概念在不 ...

  2. CCNA-第十二篇-STP+ACL(下)

    CCNA-第十二篇-STP+ACL(下) 首先说说要跳跳了 立个小FLAG, 两个月内急速完成CCIE理论+LAB实操 因为接了个工作,主要我能做到就能做这份工作. 其实NP中间的点很多都会,只是因为 ...

  3. 优秀!复旦直博生一作发15篇SCI,并担任12本SCI期刊审稿人

    在复旦的十年时光,经历了从本科入学时对于医学和公共卫生专业的迷茫,到进入课题组实习决定未来的几年投身科研工作:从研究生一年级发表第一篇SCI论文.到毕业论文发表于医学顶级期刊新英格兰医学杂志:从学术之 ...

  4. [书]x86汇编语言:从实模式到保护模式 -- 第11章 进入保护模式,初识全局描述符表GDT; 第12章 别名,冒泡排序

    第11章 进入保护模式:初始化全局描述符表,通过GDT进入代码段.数据段.堆栈段 ; FILE: c11_mbr.asm ; DATE: 20191229 ; TITLE: 硬盘主引导扇区代码; 设置 ...

  5. 写好一篇学术论文必备的12个技巧

    如果从一些基本的论文写作规则开始,任何人都可以学会写出一篇学术论文.一篇学术论文必须基于一个坚实但有争议的论点,由相关和可信的证据支持,并以一个简洁和彻底的结论结束.通过遵守写学术论文的最佳方法,即使 ...

  6. 网络安全篇 MPF架构相关原理-20

    目录 一.MPF的简介 二.MPF的三大模块 三.OSI 3到4层Class-map定义流量 四.OSI 3到4层policy-map定义策略 五.QoS流量shaping 总结 一.MPF的简介 M ...

  7. 网络安全篇(数据表单的创建 SQL命令拾遗 数据的SQL注入的防护)

    SQL注入五孔不入,尽管是老技术了,但是依然是重点防护的手段,更多的需要我们数据库开发者细心!! 数据表的演练 1 创建数据表 create database jing_dong charset=ut ...

  8. MFC开发IM-第二十八篇、acl 的编译与使用

    转载来自::: http://zsxxsz.iteye.com/blog/1506554 ------------------------------------------- acl 库的功能参见文 ...

  9. 网络安全篇 使用IPSec实现数据的机密性传输-29

    目录 一.实验原理 二.实验拓扑 三.实验步骤 四.实验过程 总结 实验难度 3 实验复杂度 5 一.实验原理 VPN的出现是为了实现远程的数据机密性传输,因为传统的以太网方式传输数据都是明文的,数据 ...

  10. 网络安全通识全解|第12期 《网络安全审查办法》解读

    01 <网络安全审查办法>出台背景 关键信息基础设施对国家安全.经济安全.社会稳定.公众健康和安全至关重要.我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品 ...

最新文章

  1. R语言效用分析 ( 效能分析、Power analysis)确定样本量、假设检验与两类错误、pwr包进行效用分析 ( 效能分析、Power analysis)的常用函数列表
  2. Oracle数据库知识小结
  3. SpringSecurity权限控制之异常处理方式二
  4. 职业规划:少走弯路的十条忠告
  5. android自助终端界面_滨州市人社自助服务终端上线新功能可查询个人在山东省所有地市的参保信息...
  6. CodeForces Round #290 Div.2
  7. Aix5~6小机运维
  8. C++ 对Ctrl+Z的解释
  9. 经济型EtherCAT运动控制器(三):PLC实现多轴直线插补与电子凸轮
  10. 如何恢复计算机隐藏的文件夹,隐藏文件夹,小编教你电脑隐藏文件夹怎么恢复...
  11. animation动画不生效_你可能不知道的Animation动画技巧与细节
  12. 计算机网络工程师干嘛的,什么是网络工程师?网络工程师是做什么的?
  13. 我们一起追逐过的大肥猫——tomcat部署
  14. openwrt-17.01.6 LEDE下载
  15. 几分之几在手机计算机上是哪个符号,数学各 种符号怎么表达比如根号,几分之几 – 手机爱问...
  16. Win10 schtasks 不稳定问题
  17. m个苹果放在n个筐里,每个筐至少一个,所有的筐都一样,有多少种放法
  18. 成都榆熙电子商务有限公司:拼多多店铺暂停运营有什么学问吗?
  19. 面试中常问的TOPK
  20. 网络系统管理 7、DBMS(MariaDB)

热门文章

  1. iis 无法启动计算机,win10系统iis无法启动的详细步骤
  2. 天轰穿结束了,结束了浮躁的生活
  3. stm32波特率计算
  4. Webmax简易入门操作手册(一)
  5. Windows把内存设置为0无法开机怎么办
  6. caj转换成word方法免费
  7. caxa发生文件读写异常_文件和异常
  8. 在计算机上找不到autocad,天正提示找不到可用的AutoCAD版本怎么办?
  9. linux latex编译器,在Ubuntu系统中下载安装LaTeX编辑器TeXstudio的方法
  10. 火车票软件哪个好用_买火车票的软件哪个最好