ASA8.4policy-map接口和全局执行的优先级测试:

简介:

一.概述:

   QQ群里面有网友讨论ASA防火墙的policy-map的global和interface的执行顺序,从字面意思可以看出这两种的应用范围是不一样的,一个是全局调用,一个只在接口下调用,因此觉得是详细的interface被优先调用,为了确认自己的想法,决定搭建环境验证一下。

二.基本思路:

A.不相冲突的policy-map估计会被全局和接口的service-policy先后调用执行,看不出效果
B.只能用相冲突的policy-map,在全局和接口的service-policy中同时调用,看最终哪个生效
C.全局和接口的policy-map执行范围是不一样的,估计接口的policy-map会被优先调用执行,顺序可能为:
①.先执行接口的service-policy,并调用对应的policy-map,如果被匹配,则不执行全局的service-policy
②.如果不被接口的policy-map所匹配,则会接着执行全局的service-policy,并调用对应的policy-map
----经过测试,发现跟想象的有点区别:如果被接口policy-map审查通过,是会送到全局policy-map的;除非被接口的class-map的ACL丢弃,或者被审查后丢弃。

三.测试拓扑:
        10.1.1.0/24(Inside)                  200.100.1.0/24(Outside)
PC1(.8)----------------------(.1)ASA842(.1)----------------------------(.8)PC2
                                                                     web服务器端口为:2000

四.基本配置:

A.PC1:

IP:10.1.1.8/24 ,GW:10.1.1.1

B.ASA842防火墙:

①接口配置:

interface GigabitEthernet0
nameif Inside
security-level 100
ip address 10.1.1.1 255.255.255.0

no shut

interface GigabitEthernet1
nameif Outside
security-level 0
ip address 202.100.1.1 255.255.255.0 
no shut

②动态PAT配置:

object network Inside.net
subnet 10.1.1.0 255.255.255.0
object network Inside.net
nat (Inside,Outside) dynamic interface

③静态PAT配置:

object network Inside.pc1
host 10.1.1.8
object network Inside.pc1
nat (Inside,Outside) static interface service tcp 2000 2000

④策略设置:

access-list outside extended permit tcp any object Inside.pc1 eq 2000 
access-group outside in interface Outside

五.测试步骤:

A.验证此时外网是否能正常访问内部web服务器:

----无法访问,因为默认全局策略开启了skinny审查

B.配置outside接口的policy-map并调用:

access-list web2000 extended permit tcp any object Inside_pc1 eq 2000 

class-map web2000
match access-list web2000

policy-map web2000
class web2000
 inspect http 
service-policy web2000 interface Outside

C.验证此时外网是否能正常访问内部web服务器:

---仍然无法访问

ciscoasa# show service-policy 
Global policy: 
 Service-policy: global_policy
   Class-map: inspection_default
     .....省略部分..................
     Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0
     Inspect: skinny , packet 4, drop 1, reset-drop 0
              tcp-proxy: bytes in buffer 0, bytes dropped 0
Interface Outside:
 Service-policy: web2000
   Class-map: web2000
     Inspect: http, packet 4, drop 0, reset-drop 0

---可以看到,数据包虽然被接口下class-map审查合格后放行,但是却被全局下的class-map丢弃。

D.调整outside接口的policy-map并调用:

access-list outside_skinny extended deny tcp any object Inside_pc1 eq 2000 
access-list outside_skinny extended permit tcp any any eq 2000

class-map outside_skinny
match access-list outside_skinny

policy-map outside_skinny
class outside_skinny
 inspect skinny  

no service-policy web2000 interface outside 

service-policy outside_skinny interface Outside

E.验证此时外网是否能正常访问内部web服务器:

---可以正常访问

访问之前,clear  service-policy,访问完成之后再查看:

ciscoasa# show service-policy 
Global policy: 
 Service-policy: global_policy
   Class-map: inspection_default
     .....省略部分..................

     Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0
     Inspect: skinny , packet 0, drop 0, reset-drop 0
              tcp-proxy: bytes in buffer 0, bytes dropped 0
Interface Outside:
 Service-policy: outside_skinny
   Class-map: outside_skinny
     Inspect: skinny , packet 0, drop 0, reset-drop 0
              tcp-proxy: bytes in buffer 0, bytes dropped 0 

----可以发现访问前后全局和接口的class-map都没有被匹配

F.调整全局和接口policy-map:

接口:

access-list outside_skinny extended permit tcp any any eq 2000 

class-map outside_skinny
match access-list outside_skinny

policy-map outside_skinny
class outside_skinny
 inspect skinny  
service-policy outside_skinny interface Outside

全局:

access-list global_skinny extended deny tcp any object Inside_pc1 eq 2000 
access-list global_skinny extended permit tcp any any eq 2000 
class-map global_skinny
match access-list global_skinny
policy-map global_policy
class inspection_default
 no inspect skinny 
class global_skinny
service-policy global_policy global

③测试:

----无法访问,被outside接口的policy-map拒绝

ciscoasa# show service-policy 
Global policy: 
 Service-policy: global_policy
   Class-map: inspection_default
     ........省略部分..............
     Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0
   Class-map: global_skinny
     Inspect: skinny , packet 0, drop 0, reset-drop 0
              tcp-proxy: bytes in buffer 0, bytes dropped 0
Interface Outside:
 Service-policy: outside_skinny
   Class-map: outside_skinny
     Inspect: skinny , packet 4, drop 1, reset-drop 0
              tcp-proxy: bytes in buffer 0, bytes dropped 0

----可以看到,因为outside的ACL没有明确拒绝流量,所以被匹配,并检测到不是skinny流量而被丢弃

G.再次调整全局和接口的policy-map:

①接口:

access-list outside_skinny extended deny tcp any object Inside_pc1 eq 2000 

access-list outside_skinny extended permit tcp any any eq 2000
class-map outside_skinny
match access-list outside_skinny
policy-map outside_skinny
class outside_skinny
 inspect skinny  
service-policy outside_skinny interface Outside

全局:

access-list global_skinny extended permit tcp any any eq 2000

class-map global_skinny
match access-list global_skinny

policy-map global_policy

class global_skinny
 inspect skinny  
service-policy global_policy global

③测试:

----可以正常访问

ciscoasa# show service-policy 

Global policy: 
 Service-policy: global_policy
   Class-map: inspection_default
     .......省略部分....................
     Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0
   Class-map: global_skinny
     Inspect: skinny , packet 0, drop 0, reset-drop 0
              tcp-proxy: bytes in buffer 0, bytes dropped 0
Interface Outside:
 Service-policy: outside_skinny
   Class-map: outside_skinny
     Inspect: skinny , packet 0, drop 0, reset-drop 0
              tcp-proxy: bytes in buffer 0, bytes dropped 0

----可以发现outside接口的ACL配置了拒绝后,不会去匹配全局的policy-map

六.总结:

A.处理顺序:先接口再全局

B.是否会送到全局:如果没有被接口policy-map匹配,或被接口policy-map审查通过,会被送到全局

-----被ACL丢弃,或审查后被丢弃,都不会去匹配全局policy-map





本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1227981,如需转载请自行联系原作者

相关文章
|
8天前
|
监控 JavaScript 测试技术
postman接口测试工具详解
Postman是一个功能强大且易于使用的API测试工具。通过详细的介绍和实际示例,本文展示了Postman在API测试中的各种应用。无论是简单的请求发送,还是复杂的自动化测试和持续集成,Postman都提供了丰富的功能来满足用户的需求。希望本文能帮助您更好地理解和使用Postman,提高API测试的效率和质量。
45 11
|
1月前
|
JSON Java 测试技术
SpringCloud2023实战之接口服务测试工具SpringBootTest
SpringBootTest同时集成了JUnit Jupiter、AssertJ、Hamcrest测试辅助库,使得更容易编写但愿测试代码。
65 3
|
2月前
|
存储 Java 开发者
Java中的Map接口提供了一种优雅的方式来管理数据结构,使代码更加清晰、高效
【10月更文挑战第19天】在软件开发中,随着项目复杂度的增加,数据结构的组织和管理变得至关重要。Java中的Map接口提供了一种优雅的方式来管理数据结构,使代码更加清晰、高效。本文通过在线购物平台的案例,展示了Map在商品管理、用户管理和订单管理中的具体应用,帮助开发者告别混乱,提升代码质量。
33 1
|
2月前
|
JSON 算法 数据可视化
测试专项笔记(一): 通过算法能力接口返回的检测结果完成相关指标的计算(目标检测)
这篇文章是关于如何通过算法接口返回的目标检测结果来计算性能指标的笔记。它涵盖了任务描述、指标分析(包括TP、FP、FN、TN、精准率和召回率),接口处理,数据集处理,以及如何使用实用工具进行文件操作和数据可视化。文章还提供了一些Python代码示例,用于处理图像文件、转换数据格式以及计算目标检测的性能指标。
80 0
测试专项笔记(一): 通过算法能力接口返回的检测结果完成相关指标的计算(目标检测)
|
3月前
|
移动开发 JSON Java
Jmeter实现WebSocket协议的接口测试方法
WebSocket协议是HTML5的一种新协议,实现了浏览器与服务器之间的全双工通信。通过简单的握手动作,双方可直接传输数据。其优势包括极小的头部开销和服务器推送功能。使用JMeter进行WebSocket接口和性能测试时,需安装特定插件并配置相关参数,如服务器地址、端口号等,还可通过CSV文件实现参数化,以满足不同测试需求。
268 7
Jmeter实现WebSocket协议的接口测试方法
|
3月前
|
JSON 移动开发 监控
快速上手|HTTP 接口功能自动化测试
HTTP接口功能测试对于确保Web应用和H5应用的数据正确性至关重要。这类测试主要针对后台HTTP接口,通过构造不同参数输入值并获取JSON格式的输出结果来进行验证。HTTP协议基于TCP连接,包括请求与响应模式。请求由请求行、消息报头和请求正文组成,响应则包含状态行、消息报头及响应正文。常用的请求方法有GET、POST等,而响应状态码如2xx代表成功。测试过程使用Python语言和pycurl模块调用接口,并通过断言机制比对实际与预期结果,确保功能正确性。
286 3
快速上手|HTTP 接口功能自动化测试
|
3月前
|
JavaScript 前端开发 测试技术
ChatGPT与接口测试
ChatGPT与接口测试,测试通过
58 5
|
2月前
|
JavaScript 前端开发 API
vue尚品汇商城项目-day02【9.Home组件拆分+10.postman测试接口】
vue尚品汇商城项目-day02【9.Home组件拆分+10.postman测试接口】
49 0
|
4月前
|
网络协议 测试技术 网络安全
Python进行Socket接口测试的实现
在现代软件开发中,网络通信是不可或缺的一部分。无论是传输数据、获取信息还是实现实时通讯,都离不开可靠的网络连接和有效的数据交换机制。而在网络编程的基础中,Socket(套接字)技术扮演了重要角色。 Socket 允许计算机上的程序通过网络进行通信,它是网络通信的基础。Python 提供了强大且易于使用的 socket 模块,使开发者能够轻松地创建客户端和服务器应用,实现数据传输和交互。 本文将深入探讨如何利用 Python 编程语言来进行 Socket 接口测试。我们将从基础概念开始介绍,逐步引导大家掌握创建、测试和优化 socket 接口的关键技能。希望本文可以给大家的工作带来一些帮助~
|
4月前
|
网络协议 测试技术 网络安全
Python进行Socket接口测试的实现
在现代软件开发中,网络通信是不可或缺的一部分。无论是传输数据、获取信息还是实现实时通讯,都离不开可靠的网络连接和有效的数据交换机制。而在网络编程的基础中,Socket(套接字)技术扮演了重要角色。 Socket 允许计算机上的程序通过网络进行通信,它是网络通信的基础。Python 提供了强大且易于使用的 socket 模块,使开发者能够轻松地创建客户端和服务器应用,实现数据传输和交互。 本文将深入探讨如何利用 Python 编程语言来进行 Socket 接口测试。我们将从基础概念开始介绍,逐步引导大家掌握创建、测试和优化 socket 接口的关键技能。希望本文可以给大家的工作带来一些帮助~