思科防火墙高级应用

一.防范ip 分片攻击

  ip 分片的原理

每个路由器都有一个最大传输单元，就是最大传输的数据的字节数

可能每个路由器都不同，那么路由器发往下一个路由器时就需要考虑是否满足下一个路由器的最大传输单元。当不满足时 需要对数据重新分片。

所以在ipv4地址的数据包， 每个经过的路由器都会对数据重新组合在分片。

二.分片的特点

  独立的ip 数据包，每个被分片的数据都是独立的ip 数据包，都有首部20字节

  标识，同一个数据被分片后，会标识相同的标识符

  标志 共三位， 第三位MF  1 表示后续还有分片， 0表示这个分片为最后一个分片

                第二位DF  0 表示允许分片  1 表示不允许分片

                第一位保留

 分片偏移量， 分片之后的数据如何重组呢 到底哪个时在前，哪个排在后面，偏移量来解决这个问题

ip 分片的安全，早期 通过偏移量违法 做 泪滴攻击

防范ip 分片

 asa(config)#fragment  chain  1

URL 过滤

  可以对访问网站的域名进行控制，需要使用类映射和策略

三.步骤：

   创建 class-map  类映射  识别传输流量

   创建 policy-map  策略映射 关联 class-map

   应用 policy-map 到接口上

实例：

  主机上两个网站 主机名相同，域名不同，通过url 过滤 只允许访问 163.com 而不允许访问 kkgame

    172.16.0.1    www.163.com

    172.16.0.1    www.kkgame.com

四.创建 class-map  识别传输流量

    asa(config)#access-list  tcp_filter1   permit  tcp  192.168.1.0  255.255.255.0  any  eq  80

    asa(config)#class-map   tcp_filter_class1

    asa(config-cmp)#match  access-list   tcp_filter1

    asa(config-cmp)#exit

五.  创建正则表达式

    asa(config)#regex  url1 “\.kkgame\.com”

 创建 类映射 类型为 regex（正则表达式）

    asa(config)#class-map  type  regex  match-any  url_class1

    asa(config-cmap)#match  regexurl1

六.  创建 类映射 类型为 inspect  http(检查http 流量)

    asa(config)#class-map  type  inspect  http http_url_class1

    asa(config-cmap)#match  request  header  host  regex  class   url_class1

    asa(config-cmap)#exit

七.  创建 policy-map策略映射  关联 class-map类映射

asa(config)#policy-map  type  inspect  http  http_url_policy1

asa(config-pmap)#class  http_url_class1

asa(config-pmap-c)#drop-connection  log

asa(config-pmap-c)#exit

asa(config-pmap)#exit

八.   创建策略映射

asa(config)#policy-map  inside_http_url_policy

asa(config-pmap)#classtcp_filter_class1

asa(config-pmap-c)#inspect  http   http_url_policy1

asa(config-pmap-c)exit

asa(config-pmap)#exit

 将 policy-map 应用到 接口上

   asa(config)#service-policy  inside_http_url_policy  interface  inside