第二章ASA防火墙实验案例一ASA防火墙基本配置一、实验目的：熟悉ASA基本配置二、实验环境和需求在WEB上建立站点.，在Out上建立站点，并配置DNS服务，负责解析(202.0.0.253/29)和（IP为202.2.2.1）,PC1的DNS 指向200.2.2.1只能从PC1通过SSH访问ASA从PC1可以访问outside和dmz区的网站，从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主三、实验拓扑图四、配置步骤（一）路由器配置int f1/0ip add 200.0.0.1 255.255.255.252no shint f0/0ip add 200.2.2.254 255.255.255.0no shexitip route 0.0.0.0 0.0.0.0 200.0.0.2end(二) ASA基本属性配置1、接口配置Interface E 0/0Ip address 192.168.0.254 255.255.255.0Nameif inside //设置内接口名字Security-level 100 //设置内接口安全级别No shutdownInterface E 0/1Ip add 192.168.1.254 255.255.255.0Nameif dmz //设置接口为DMZSecurity-level 50 //设置DMZ接口的安全级别No shutdownInterface E 0/2Ip address 200.0.0.2 255.255.255.252Nameif outside //设置外接口名字Security-level 0 //设置外接口安全级别No shutdown2、ASA路由配置：静态路由方式(config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.13、从PC1上可以PING通OUT主机默认情况下不允许ICMP流量穿过，从内Ping外网是不通的，因为ICMP应答的报文返回时不能穿越防火墙，可以配置允许几种报文通过，(Config)# Access-list 111 permit icmp any any(config)# Access-group 111 in interface outside此时在PC1上就可台PING通OUT主机了。

测试时允许，在工程中测试完以后关闭。

（二）只能通过PC1 telnet 或SSH访问ASA1） telnet的密码配置Passwd benet2) 特权模式密码Enable password 12341、telnettelnet 0 0 inside //允许来自内网的所有用户telnet 登录，外网拒绝telnet 192.168.0.0 255.255.255.255 inside //只允许这台机telnet 登录passwd 1234 //telnet 登录密码who //查哪些用户已登录kill //断开连接的用户2、SSHDomain-name //配置域名，在生成密钥时要用到Crypto key generate rsa modulus 1024Ssh 192.168.0.0 255.255.255.0 insideShow ssh测试：在PC1开SecureCRT.exe测试,默认用户名pix（二）从PC1可以访问ouside和DMZ的网站，从OUT可能访问DMZ的网站1、从PC1上就可以访问Outside 和 dmz区的网站(Config)# Nat-control(Config)# Nat (inside) 1 0 0 //内接口所有参与地址转换(Config)# Global (outside) 1 interface //转换成外接口的IP(config)# global (dmz) 1 192.168.1.100-192.168.1.110(config)# show xlate //查看转换条目2、从外网OUT主机访问DMZ中WEB服务器(config)# static (dmz,outside) 200.0.0.253 192.168.1.1(Config)#access-list 111 permit tcp any host 200.0.0.253 eq www(config)#access-group 111 in int outside3、测试1）在内部访问外部OUT主机WEB服务。

2）在外部OUT主机通过IP 200.0.0.253访问DMZ中192.168.1.1的WEB服务。

注意啦：如果只有ASA外接口一个公网IP，发布DMZ服务器NAT方式如下：(config)# static (dmz,outside) tcp int 80 192.168.1.1 80(Config)#access-list 111 permit tcp any int outside eq www(config)#access-group 111 in int outside这样在外网通过访问ASA外接口80端口可以访问192.168.1.1WEB服务。

实验案例二ASA安全设备的高级应用之URL过滤一、实验目的：熟悉ASA安全配置—过滤URL二、实验环境和需求1、在WEB上建立站点，配置DNS2、在ASA上配置过滤特定的URL地三、实验拓扑图四、配置步聚1、基本配置，如案例一2、在外部服务器上建好WEB站点，并配置DNS新建两个区域3、在内部PC上测试能通过和访问外部服务器的WEB站点。

4、在ASA上配置过滤*conf taccess-list tcp_filter2 permit tcp any any eq wwwclass-map tcp_filter_class2match access-list tcp_filter2exitregex url2 "\.kkgame\.com"class-map type regex match-any url_class2match regex url2exitclass-map type inspect http http_url_class2match request header host regex class url_class2exitpolicy-map type inspect http http_url_policy2class http_url_class2drop-connection logexitexitpolicy-map inside_http_url_policyclass tcp_filter_class2inspect http http_url_policy2exitexitservice-policy inside_http_url_policy interface inside4、在内部PC上测试，5、如果要过滤多个URL地址conf taccess-list tcp_filter2 permit tcp any any eq www class-map tcp_filter_class2match access-list tcp_filter2exitregex url2 "\.kkgame\.com"regex url3 "\.gz-benet\.com\.cn"class-map type regex match-any url_class2match regex url2match regex url3exitclass-map type inspect http http_url_class2match request header host regex class url_class2 exitpolicy-map type inspect http http_url_policy2class http_url_class2drop-connection logexitexitpolicy-map inside_http_url_policyclass tcp_filter_class2inspect http http_url_policy2exitexitservice-policy inside_http_url_policy interface inside6、在PC上测试，两个地址都不能访问了实验案例三ASA安全设备的高级应用一、实验目的：熟悉ASA安全配置二、实验环境和需求1、在WEB上建立站点.，在Out为RH5系统，并安装hping2软件包。

在PC1安装日志服务器软件，安装文件为Kiwi_Syslogd2、在ASA上配置使用日志服务器3、测试ASA防泪滴攻击4、测试防IP分片攻击5、在ASA上启IDS，防死亡之ping三、实验拓扑图四、配置步骤1、在ASA上配置使用日志服务器。

在pc1上安装日志服务器的软件,如Kiwi_Syslogd_8.3.19_Beta.setup.exe asa802(config)# logging enableasa802(config)# logging trap informationalasa802(config)# logging host inside 192.168.0.1如果在ASA上输入如下命令asa802(config)#int e0/2asa802(config)#shuasa802(config)#no shu在PC1上看到日志如下：2、测试ASA防御泪滴攻击。

ASA默认配置了基本的威胁检测，它能防御一些基本的威胁asa802(config)#threat-detection basic-threat在外部主机PC2上对WEB服务器发起泪滴攻击：在PC1查看日志，看到teardrop fragment已经被Deny了在WEB服务器上启用sniffer抓包，没有抓到泪滴攻击的包，说明基本安全威胁配置就可以防泪滴攻击3、测试防范IP分片攻击。

1) 为了测试，允许外网ping WEB的外部地址200.0.0.253asa802(config)#access-list out-to-dmz permit icmp any any echoasa802(config)#access-list out-to-dmz permit icmp any any echo-reply2) 在外部主机上ping 一个20000字节包，同时在WEB上抓包在Web抓包看到了分片3）在ASA上启用如下命令，禁用分片,重复第二步Asa802(config)#fragment chain 1在WEB上没有抓到包，在PC1上日志服务器可以看分片被丢弃4、在ASA上启用IDS功能，防御死亡之ping。