网络设备安全部署-PPT04-v1.0.ppt

实验案例二：配置透明模式2-1 需求描述 将ASA配置为透明模式，实现R3能够telnet到R1 E0/0 R1 SW Trunk Vlan 10 Vlan 20 /24 F0/0 F0/1 F0/2 PC1 PC2 /24 R1 R2 R3 实验案例二：配置透明模式2-2 实现思路 配置设备的接口地址及VLAN划分 配置透明模式及ACL 验证R3能够telnet到R1，使用命令show mac-address-table查看MAC地址表 学员练习 50分钟完成 * * * * 首先讲解以太网常见的帧格式，引出MTU的概念。 然后讲解IP分片的形成，再分片的概念。 * 最后讲解分片重装，强调是在目的主机进行重装。 * * 分片偏移的概念不好理解，这里以图示方式讲解。强调分片偏移是指该分片的数据部分在原始数据包的数据部分中的偏移量。 * * * 此部分的目标是学员可以大概看懂配置，并实现公司要求的网站域名的限制即可，对于细节化的理论知识不要讲解过深。 * 通过提问进行复习和小结。 * * * * * * * * * * * * * * * * * * B e n e t BENET 4.0 B e n e t BENET 4.0 */29 BENET 4.0 B e n e t BENET 4.0 */29 B e n e t BENET 4.0 */29 第四章 Cisco ASA高级配置 —— 理论部分 在ASA上查看NAT转换表的命令是什么？ nat-control命令有何作用？ NAT豁免有何作用？ 课程回顾 理解IP分片并防范其攻击 会配置URL过滤 会进行日志管理与分析 会配置透明模式 技能展示 本章结构 防范IP分片攻击 IP分片的原理 IP分片的安全问题 防范IP分片 Cisco ASA高级配置 URL过滤 日志信息的安全级别 配置日志 日志管理 透明模式 透明模式概述 透明模式的配置 透明模式的配置案例 MTU 分片 IP分片的原理 MTU 数据 FCS 类型 源地址 目的地址 MTU 原数据帧 分片的数据帧 MTU=1500 MTU=620 分片重装的详细过程 IP分片的原理 IP头 数据 数据分片1 数据分片2 IP头 IP头 * 数据分片1 数据分片2 分片过程 重装过程 数据 分片1： 分片2： IP分片分析2-1 Identification（标志）： 标识都为6307，表示它们原先属于同一个IP数据报文 Flags（标志）： 第2位：0表示允许分片 第3位：0表示最后一个分片，1表示还有后续的分片 Fragment offset（分片偏移）： 分片报文在原始数据报文中的偏移量 分片偏移 指分片的数据部分在原始数据包的数据部分中的偏移量 原始数据包，其数据部分的长度为2008字节 第1个分片的总长度为1?500字节，其数据部分的长度为：1500－20＝1480字节，偏移是0字节 第2个分片的总长度为548字节，其数据部分的长度为：548－20＝528字节，偏移是1480字节 IP分片分析2-2 原始数据包的数据部分 分片1的数据部分 0 2007 1480 分片2的数据部分 1479 泪滴攻击（teardrop）原理分析 操作系统在收到IP分片后，会根据偏移值将IP分片重新组装成IP数据包 如果伪造含有重叠偏移的分片，一些老的操作系统在收到这种分片时将崩溃 IP分片的安全问题 分片1的数据部分 0 分片2的数据部分 400 在ASA上配置fragment chain 每个IP包允许的分片数，默认是24个 禁止IP分片通过的配置命令 防范IP分片 asa(config)# fragment chain 1 ASA处理IP分片的机制 默认等待5秒 如果在5秒内没有收到后续的IP分片，则认为重组失败，最终将丢弃所有的分片 “1”表示没有分片 URL过滤 network 工作相关网站 工作无关网站 network 实施URL过滤一般分为三个步骤 1）创建class-map（类映射），识别传输流量 2）创建policy-map（策略映射），关联class-map 3）应用policy-map到接口上 URL过滤 * 第一层 asa(config)# access-list tcp_filter1 permit tcp any eq www asa(config)# class-map tcp_filter_class1 as