ASA基于用戶的MPF 、高級訪問控 制和地址轉(zhuǎn)換_05

基于用戶的MPF

username user1 password cisco 
username user2 password cisco  
!
!創(chuàng)建兩個(gè)賬號給用戶認(rèn)證用
 
object-group user group1  
！
！創(chuàng)建一個(gè)對象組
 
 user Local\user1 
！
！匹配本地?cái)?shù)據(jù)的用戶，也可以是ACS。
 
object-group user group2 
 user Local\user2 
access-list 100 extended permit tcp any any eq 80  
！
！匹配流量
 
aaa authentication match 100 inside LOCAL  
！
！只要是這些流量都做認(rèn)證，認(rèn)證數(shù)據(jù)庫為本地
 
access-list 
filter-shrun
 permit tcp 
object-group-user 
group1 any  
any eq www  
!
!匹配流量，并且是用戶1的。
 
access-list 
filter-who 
permit tcp 
object-group-user group2 any 
any  
eq www 
regex who "who"  
！
！配置正則表達(dá)式，有”who”關(guān)鍵字的
 
regex shrun "sh/run" 
class-map class1 
 match access-list 
filter-shrun
  
!!
匹配流量
 
class-map class2 
 match access-list filter-who 
policy-map type inspect http policy-map1 
!! 
注意，這是5-7層
 
 parameters 
 match request uri regex shrun  
！
！當(dāng)這個(gè)流量中，有正則表達(dá)式里的關(guān)鍵字時(shí)
  drop-connection log  
！
！丟棄并且做log 
policy-map type inspect http policy-map2 
 parameters 
 match request uri regex who 
  reset 
policy-map global_policy 
class class1 
  inspect http policy-map1   
!!
深度過濾
 
 class class2 
  inspect http policy-map2

Botnet Traffic Filter

ASDM自行添加即可

NAT

Object NAT:只能轉(zhuǎn)換源或目的IP

Twice NAT:在滿足策略下轉(zhuǎn)換源和目IP

靜態(tài)（常用于指定服務(wù)器對外端口轉(zhuǎn)換），PAT（動態(tài)地址加端口轉(zhuǎn)換），identity NAT（旁路部分地址）

一個(gè)網(wǎng)段轉(zhuǎn)換一個(gè)地址范圍

配置動態(tài)NAT
object network innet
 subnet 192.168.17.0 255.255.255.0
object network outnet
 range 192.168.16.60 192.168.16.70
 
object network innet
 nat (inside,outside) dynamic outnet

  
查看
ASA(config)# show xlate
1 in use, 1 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net
NAT from inside:192.168.17.100 to outside:192.168.16.65 flags i idle 0:01:03 timeout 3:00:00

ASA(config)# show running-config nat
!
object network innet
 nat (inside,outside) dynamic outnet

ASA(config)# show running-config object network 
object network innet
 subnet 192.168.17.0 255.255.255.0
object network outnet
 range 192.168.16.60 192.168.16.70

ASA(config)# show running-config timeout 
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
..

更改nat超時(shí)時(shí)間
ASA(config)# timeout xlate 1:0:0

清除轉(zhuǎn)換表
ASA(config)# clear xlate

靜態(tài)nat

把動態(tài)的  object中的網(wǎng)段范圍換成host    再改靜態(tài)就可以了

一個(gè)范圍轉(zhuǎn)換一個(gè)地址不同端口

PAT
!
object network innet
 nat (inside,DMZ) dynamic 192.168.12.110    //直接指向一個(gè)地址即可
 
ASA# show xlate 
1 in use, 2 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net

TCP PAT from inside:192.168.17.100/49526 to DMZ:192.168.12.110/49526 flags ri idle 0:01:15 timeout 0:00:30

先動態(tài)轉(zhuǎn)換，地址池用盡再切換PAT

object network outpool
 range 192.168.16.119 192.168.16.120
object network innet
 subnet 7.7.7.0 255.255.255.0

 !
object network innet
 nat (inside,outside) dynamic outpool interface    //若地址池用盡就用接口的ip做pat

ASA# show x
4 in use, 4 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net

ICMP PAT from inside:7.7.7.1/14 to DMZ:192.168.12.139/14 flags ri idle 0:00:04 timeout 0:00:30
NAT from inside:7.7.7.3 to DMZ:192.168.12.119 flags i idle 0:00:08 timeout 1:00:00
NAT from inside:7.7.7.2 to DMZ:192.168.12.120 flags i idle 0:00:06 timeout 1:00:00
ICMP PAT from inside:7.7.7.7/15 to DMZ:192.168.12.139/15 flags ri idle 0:00:01 timeout 0:00:30

PAT地址池

nat (inside,DMZ) dynamic pat-pool dmzpool round-robin

動態(tài)轉(zhuǎn)換到dmzpool里的地址的不同端口 round-robin表示輪詢地址池里的地址

ASA(config-network-object)# show x
4 in use, 4 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net

ICMP PAT from inside:7.7.7.1/22 to DMZ:192.168.12.119/22 flags ri idle 0:00:03 timeout 0:00:30
ICMP PAT from inside:7.7.7.3/20 to DMZ:192.168.12.119/20 flags ri idle 0:00:07 timeout 0:00:30
ICMP PAT from inside:7.7.7.2/21 to DMZ:192.168.12.120/21 flags ri idle 0:00:05 timeout 0:00:30
ICMP PAT from inside:7.7.7.7/23 to DMZ:192.168.12.120/23 flags ri idle 0:00:01 timeout 0:00:30

靜態(tài)PAT

object network DMZ_Web_Server
 host 192.168.12.100
 nat (DMZ,outside) static interface service tcp www www    // ftp 2121 等等
         //注： 有這句，能訪問192.168.16.139，但不能訪問192.168.12.100
                沒有這句，能訪問192.168.12.100
 
access-list out-dmz extended permit tcp any object DMZ_Web_Server eq www   
                                 
access-group out-dmz in interface outside

ASA(config-network-object)# show x
1 in use, 4 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net
TCP PAT from DMZ:192.168.12.100 80-80 to outside:192.168.16.139 80-80
    flags sr idle 0:02:40 timeout 0:00:00

outside 口抓包：

dmz口抓包：

Static NAT DNS Rewrite

注：在ASA上必須激活DNS inspection

object network Inside-Web-Server
host 10.1.1.101
object network Inside-Web-Server
nat (Inside,Outside) static 202.100.1.101 dns

篡改dns解析的地址，內(nèi)網(wǎng)訪問www.cisco.com實(shí)際上是訪問內(nèi)網(wǎng)的一臺web服務(wù)器

Dynamic Identity NAT 

1. Dynamic Identity NAT轉(zhuǎn)換本地地址到相同的地址，到低安全級別的接口。（只能高到低）

2. Outbound流量會在轉(zhuǎn)換表中產(chǎn)生一個(gè)臨時(shí)的轉(zhuǎn)換槽位。

Static Identity NAT

同上，不過是永久表項(xiàng)

Twice Nat

只有源目符合的才會被匹配轉(zhuǎn)換，

若只從object nat 中旁路一些數(shù)據(jù)包（由此可見，twice nat 默認(rèn)優(yōu)先 object nat），可以把轉(zhuǎn)換前后設(shè)置一致，類似identity nat，當(dāng)然也可以設(shè)置其他（如***配置）

object network dst-1
 host 1.1.1.1
object network dst-202
 host 202.100.1.1
object network pat-1
 host 202.100.1.101
object network pat-2
 host 202.100.1.102
object network Inside-Network
 subnet 10.1.1.0 255.255.255.0
object service telnet23
 service tcp destination eq telnet
object service telnet3032
 service tcp destination eq 3032
 
nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23
nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202 service telnet3032 telnet3032

Network Object NAT和Twice NAT的主要區(qū)別

object nat：nat是object的一個(gè)參數(shù)，實(shí)體為object，可以方便的被用于調(diào)用（如：ACL），只能改源或目

twice nat：object是nat的一個(gè)參數(shù)，可以添加自定義的object（或group），擴(kuò)展性強(qiáng)，可以同時(shí)改源目

nat順序

優(yōu)先級一： 

    Twice NAT 敲入的順序

    Twice可以隨意調(diào)整順序
優(yōu)先級二： Object NAT
    靜態(tài)轉(zhuǎn)換優(yōu)先于動態(tài)轉(zhuǎn)換
    如果類型相同，按照如下方式排序
    1.地址范圍
    2.IP地址數(shù)字大小
    4.Object名字排序  

        192.168.1.1/32 (static)        
        10.1.1.0/24 (static)
        192.168.1.0/24 (static)
        172.16.1.0/24 (dynamic) (object abc)
        172.16.1.0/24 (dynamic) (object def)
        192.168.1.0/24 (dynamic

優(yōu)先級三： Twice NAT
    after-auto

更改排序

默認(rèn)twice nat優(yōu)先object nat，當(dāng)在twice nat加after-auto參數(shù)，就會放在object nat之后

nat (Inside,Outside) after-auto source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23

后敲的twice nat要排在前面，需要加 1

nat (Inside,Outside) 1 source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23