网络安全篇 MPF基本状态监控特性-22
一、MPF基本状态监控特性
在ASA的实验中,我们最初会发现,即使有路由,也无法ping通对方,接下来我会以下面的实验简图介绍相关的内容。在ASA上,直连网络的连通性是没有问题的,R1与R2都配置了默认路由,若按照以往的路由实验,这个肯定是可以ping通的,但是在这里却不行,因为ASA本身就是一个安全产品,所有穿越它的流量都必须受到它的监控,或者网络管理员手工放行相关的流量,这个流量就是信任流量。在ASA防火墙上,默认所有的外部流量都是不受信任的,而内部去往外部的流量都是不受信任的。好了,回到下图,我们发现使用内部的R1是可以telnet R2的,但是却无法ping通它,为什么呢?这是因为防火墙有一个用于监控的状态化表项,而Telnet流量是受到监控的,在内部的telnet流量穿越它时,它是内部流量,它会被放行,接着返回telnet的回应包时,防火墙监测到这个回应包是在状态化表时存在映射关系的,所以防火墙就放行了。而ICMP协议的数据流量是没有受到监控的,所以内部的数据包可以出去,但是返回的时候,防火墙就把它们干掉了,因为它们是不受信任的外部流量。
注意:TCP、UDP这个流量默认是受监控的,所以这些类型的流量回应包都是可以穿越防火墙正常返回。
| 实验难度 | 2 |
| 实验复杂度 | 2 |
二、实验一:ASA上监控ICMP
一、实验拓扑
二、实验步骤
1.搭建如图所示的网络拓扑;
2.初始化路由器,配置好IP地址;
3.配置防火墙的名称为ASA,inside区域的安全级别为100,outside的默认为0,配置好IP地址,测试直连网络的连通性;
4.路由器配置好默认路由,在R2上开启ICMP的debug功能,然后在R1上测试ping;
5.在防火墙上配置检查ICMP协议的流量;
6.在R1上进行测试。
三、实验过程
1.搭建如图所示的网络拓扑;
略。
2.初始化路由器,配置好IP地址;
略。
3.配置防火墙的名称为ASA,inside区域的安全级别为100,outside的默认为0,配置好IP地址,测试直连网络的连通性;
4.路由器配置好默认路由,在R2上开启ICMP的debug功能,然后在R1上测试ping;
测试:
在这里我们可以看到R1的ICMP数据包是已经到达了R2,R2也已经返回数据包了,但是R1没有收到,这里因为防火墙把它当作不受信任的外来数据包干掉了。
我们show running看一下:默认会建立动态映射的协议流量还是比较多的,但是这里没有ICMP的检查表项。
5.在防火墙上配置检查ICMP协议的流量;
6.在R1上进行测试。
这里我们可以看到R1现在是可以ping通R2了,除了这个办法,我们也可以使用ACL的方法使得R1ping通R2。
现在我们来看看这个running里面的内容:会发现这里检查的协议流量多了一个ICMP
代码解释:
ASA(config-pmap)# policy-map global_policy //使用默认的policy-map
ASA(config-pmap)# class inspection_default //使用默认的Class类
ASA(config-pmap-c)# inspect icmp //检查监控的流量为ICMP
总结
这个实验的内容难度不高,这个内容类似于Qos的流量控制,在我们做路由器的相关安全策略时,也会用到这些内容,所以它是会比较实用的知识。需要放行何种协议的流量,就使用这样的方法就可以了,当然也有可能里面没有检查的协议表项,这个时候我们可以使用ACL来匹配相关的流量。好了,我们在下一个章节再见,加油!
网络安全篇 MPF基本状态监控特性-22相关推荐
- 网络安全篇 MPF架构相关原理-20
目录 一.MPF的简介 二.MPF的三大模块 三.OSI 3到4层Class-map定义流量 四.OSI 3到4层policy-map定义策略 五.QoS流量shaping 总结 一.MPF的简介 M ...
- 网络安全篇 MPF对网管流量的控制-21
目录 一.实验拓扑 二.实验步骤 三.实验过程 总结 实验难度 2 实验复杂度 2 一.实验拓扑 二.实验步骤 1.搭建如图所示的网络拓扑: 2.初始化路由器,配置相应的IP地址: 3.修改防火墙的名 ...
- 打印技术之打印机状态监控
http://www.cnblogs.com/menlsh/p/4211988.html 在上一篇博文中我主要介绍了如何获取以及设置系统的默认打印机,本文将介绍如何对打印机状态进行实时监控,记录下所打 ...
- 【打印技术02】打印机状态监控
在上一篇博文中我主要介绍了如何获取以及设置系统的默认打印机,本文将介绍如何对打印机状态进行实时监控,记录下所打印的文档.打印的份数以及打印时间等打印信息. 1.打印机虚脱机技术 在正式介绍如何对打印机 ...
- 如何使用机器学习进行异常检测和状态监控?
https://www.toutiao.com/a6653038876652732939/ 2019-02-01 22:28:43 本文将介绍机器学习和统计分析的几种不同技术和应用,然后展示如何应用这 ...
- iOS开发多线程篇—线程的状态
iOS开发多线程篇-线程的状态 一.简单介绍 线程的创建: self.thread=[[NSThread alloc]initWithTarget:self selector:@selector(te ...
- 使用Nagios打造专业的业务状态监控
想必各个公司都有部署zabbix之类的监控系统来监控服务器的资源使用情况.各服务的运行状态,是否这种监控就足够了呢?有没有遇到监控系统一切正常确发现项目无法正常对外提供服务的情况呢?本篇文章聊聊我们如 ...
- java项目实现服务器监控,Java实现服务器状态监控
Java实现服务器状态监控 内容精选 换一换 云容器实例(Cloud Container Instance,CCI)服务提供 Serverless Container(无服务器容器)引擎,让您无需创建 ...
- 网络安全篇 浅谈学习网络安全的看法-00
目录 一.网络与网络安全的相关概念 二.谈谈对学习网络安全的一些看法 总结 一.网络与网络安全的相关概念 关于网络与网络安全这两个概念,我想有很多朋友或者是工作多年的工程师也说不清楚,因为两个概念在不 ...
最新文章
- android+3.0+java8_Android Retrofit2.0+RxJava3.0 基本使用
- ai进入轮廓模式怎么退出_详解AI中扩展、扩展外观、轮廓化描边、创建轮廓
- Php 比较字符串相似度
- Python-使用tkinter实现的摇骰子小游戏
- jsp页面javascript没反应
- android.net是哪个jar,【Android Clock Synchronization】Android时钟同步:基于NTP协议的第三方库Apache Commons Net......
- PostgreSQL12主从流复制(一主两从)
- 能发出调子的c语言程序,求关于单片机的电子琴C程序
- 一次mongoengine查询速度慢的优化
- 凑热闹买了个小米剃须刀
- cad管线交叉怎么画_CAD命令:打断(BREAK)命令的使用技巧
- python list array_Python列表list 数组array常用操作集锦【转】
- ESP8266 教程3 — 通过TCP组建局域网并通信
- Python3爬虫教程-1.使用爬虫抓取网页上的一张图片
- 吴伯凡-认知方法论-认知的升级=工具的进化
- MySQL事务的保证机制
- php网站登录界面验证码打不开,php网站无法显示验证码
- HackTheBox::Sunday
- 复合函数求导经典例题_【2017年整理】多元函数求导经典例题.ppt
- 物联网操作系统软件定时器