acl
出方向默认全部允许
外面到里面全部拒绝
1.对抵达自身的流量不起作用
2.只对初始化流量器作用
使用访问控制列表让outside telnet inside接口
access-list out permit tcp host 2002.100.1.1 host 10.1.1.1 eq telnet
access-group out in interface outside
路由器和pix访问控制列表区别:
1.路由器会对抵达路由器的自身的流量起作用
2.只会对穿越防火墙的流量起作用,对自身不起作用
3.只会对初始化流量起作用,对已经建立连接的没有任何作用
如果想限制由高到低的流量,使用访问控制列表对in方向进行deny.如果想放行外面向里面的流量,目的ip地址一定是转换后的ip地址。
如果要放行inbound的流量来访问dmz的server需要三个步骤
1.static
2.写一个inboud的访问控制列表,并且在outside接口运用。
3.access-group
例:
static (dmz,outside) 202.100.1.101 192.168.1.1
access-list out line 1 permit tcp any host 202.100.1.101 eq telnet
使用line1把访问控制列表放到最前面.
安全考试的基本思想,如果有server转换就必须放行访问流量。
6.3不能clear counters,7.0可以清空
clear access-list out counters 清空计数器
时间访问控制列表
时间acl,只能用于访问控制的作用
在vpn和policy nat的时候时间acl不起作用
周期性的使用periodic,什么时候到什么时候
绝对时间使用absolute,一个周的时间,几点到几点
例子:
time-range temp-worker
absolute(绝对时间) start 00:00 1 august 2004 end 00:00 30 august 2004
periodic weekdays 8:00 to 17:00
调用:
static (dmz,outside) 192.168.0.6 172.16.0.6
access-list aclin permit tcp host 192.168.10.2 host 192.168.0.6 eq www time-range temp-worker
可以用在访问控制列表后面调用,只有在time-range一内这个访问控制列表才是active的。
如果一条访问控制列表不想使用,但是还不想删除。暂时关掉。激活再敲一遍
access-list aclin permit tcp host 192.168.10.2 host 192.168.0.6 eq www time-range temp-worker inactive(暂时关掉)
列表后面跟log
如果是状态列表,就会对这个流量进行一个log,log后面可以跟一个级别,就是说这个访问控制列表弹出的级别是多少,可以对访问控制列表进行一个告警的interval,和一个deny-flow-max 最大值
例子:
access-list outside-acl permit icmp any host 192.168.1.1 log 7(设置log级别) interval 600(告警)
access-list deny-flow-max 1024(超过1024就不管了)
access-list alert-interval 120(产生120告警)
防止dos攻击
例如:deny ip any any log,防火墙记录所有deny的flow,如果dos攻击发生这个记录flow的条目就会增加,增加防火墙的压力,这个命令为了限制alert-interval以内允许监控的flow数量,超过就会产生120的告警,多的flow就不监控了。
如果想把新写的列表插入到2和3之间,那你新写的列表就写3,它就会把当前的3顶到4去。
如果想在2和3之间增加acl条目,使用line 3就可以了,这样就会把现有的3变成4,插入的条目变成3了
ramark 标识对下面的访问控制列表做一个注释
例子:
access-list outside line 1 remark web server http
access-list outside line 2 extended peermit tcp any host 192.168.0.8 eq www
inactivel这个功能介绍
访问控制列表变化总结
1.可以再out方向作
2.clear counter
3.remark
4.time-range
6.log
防火墙默认是完全可以被ping通的,对抵达防火墙的icmp进行控制,方向是in方向,对抵达防火墙自身的icmp做控制,而且是in方向作控制。
例子:icmp permit any echo-reply outside
icmp permit any unreachable outside例如我想让防火墙ping通outside设备,但是他不能ping通我。
icmp deny any echo outside (outside来的echo全部deny)
icmp permit any outside 不写默认全部deny
由上往下看。对icmp以外的没关系,对其他接口没关系。从外面到接口in方向。
从防火墙跨防火墙ping根本不可能
nat 0 加访问控制列表
1.nat 0 只能使用ip
2.nat 1可以使用上层协议
nat 0加访问控制列表最优先,第二个静态转换。第三个nat>=1,最不牛逼的是不转换的。
满足这个流量就不转换,只能写ip的。写其他的通不了。某个源某个目的。nat>=1后面同样跟列表,跟global联用来做策略。相同的源在访问不同的公网的时候可以转换成不同的公网地址。
例子:access-list vpn-no-nat permit ip 10.100.10 255.255.255.0
nat (inside) 0 access-list vpn-no-nat
nat (inside) 1
nat>=1跟列表global联用来作策略,基于这个流量转换一个地址,基于另外一个流量转换成为另外一个地址。相同的源,在访问不同的目的的时候,转换成不同的公网ip。
例子:access-list company_a permit tcp 10.0.0.0 255.255.255.0 host 192.168.10.11 eq www
nat (inside) 10 access-list company_a
global (outside) 10 192.168.0.33 netmask 255.255.255.255
access-list company_b permit tcp 10.0.0.0 255.255.255.0 host 192.168.100.4 eq www
nat (inside) 11 access-list company_b
global (outside) 11 192.168.0.49 netmask 255.255.255.255
可以写上层协议。从上往下看,
其他访问控制列表
vpn
例子:access-list 101 permit ip 10.0.0.0 255.255.255.0 10.200.0.0 255.255.255.0 crypto map fw1map 1- match address 100(满足这个流量做vpn)
恶意代码过滤
java
activex
例子:filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0(标示任何的源到任何的目的tcp 80端口进行activex过滤)
url过滤
url-fitering server厂商n2h2和websense。
server和防火墙可以进行对联,策略都是在服务器上做,防火墙只能是,url来了不仅把它发到目的地还扔给server一份,让server去判断,如果server判断为deny那么回来的流量不让进,如果server回应的是permit就让回来。
防火墙端设置例子:url-server (dmz) vendor n2h2 host 172.16.0.3 protocol tcp
allow:如果server不通所有放行
no allow(default):如果server不通所有流量block
例子:
filter url http 0 0 0 0 allow(只要是http的不管源目标全部拿到server去过滤,allow当服务down所有流量放行)
https 过滤
https是通过伪装server和你建立连接,获取你的url,如果ok它会重定向到目的地址去
例子:
filter https 0 0 0 0 0 allow
如果访问的是https,防火墙会伪装你请求的目的,跟目的建立三次握手然后解密,把里面的url拿出来看,如果ok,它就会给你做个重定向,让你去认这个目的地。返回流量阻止。
浙公网安备 33010602011771号