防火墻（ASA）高級配置之URL過濾、日志管理、透明模式

    對于防火墻產(chǎn)品來說，最重要的一個功能就是對事件進行日志記錄。本篇博客將介紹如何對ASA進行日志管理與分析、ASA透明模式的原理與配置、利用ASA防火墻的IOS特性實施URL過濾。

一、URL過濾

    利用ASA防火墻IOS的特性URL過濾可以對訪問的網(wǎng)站域名進行控制，從而達到某種管理目的。

    實施URL過濾一般分為以下三個步驟：

（1）創(chuàng)建class-map（類映射），識別傳輸流量。

（2）創(chuàng)建policy-map（策略映射），關(guān)聯(lián)class-map。

（3）應(yīng)用policy-map到接口上。

案例：如下圖所示，實現(xiàn)網(wǎng)段192.168.1.0/24中的主機禁止訪問www.4399.com，但允許訪問其他網(wǎng)站，如www.163.com

配置步驟如下：

（1）配置接口IP，實現(xiàn)全網(wǎng)互通（略）

（2）創(chuàng)建class-map（類映射），識別傳輸流量。

asa(config)# access-list aaa permit tcp 192.168.1.0 255.255.255.0 any eq www   //創(chuàng)建ACL
asa(config)# class-map aaa1            //創(chuàng)建class-map
asa(config-cmap)# match access-list aaa          //在class-map中定義允許的流量
asa(config-cmap)# exit

asa(config)# regex urla "\.4399\.com"           //定義名稱為urla的正則表達式，表示URL擴展名是"4399.com"
asa(config)# class-map type regex match-any urla1        //創(chuàng)建class-map，類型為regex，match-any表示匹配任何一個
asa(config-cmap)# match regex urla                   //定義URL
asa(config-cmap)# exit

asa(config)# class-map type inspect http urla2         //創(chuàng)建class-map，類型為inspect http(檢查http流量)
asa(config-cmap)# match request header host regex class urla1    
//在http請求報文頭中的host域中的URL擴展名如果是"4399.com"，將被丟棄。regex class urla1表示調(diào)用名稱為urla1的class-map

（3）創(chuàng)建policy-map（策略映射），關(guān)聯(lián)class-map。

asa(config)# policy-map type inspect http policy1      //創(chuàng)建policy-map，類型為inspect http(檢查http流量)
asa(config-pmap)# class urla2                  //調(diào)用之前創(chuàng)建的class-map
asa(config-pmap-c)# drop-connection log         //drop數(shù)據(jù)包且關(guān)閉連接，并發(fā)送系統(tǒng)日志

asa(config)# policy-map policy2                //創(chuàng)建policy-map，將應(yīng)用到接口
asa(config-pmap)# class aaa1                //調(diào)用之前創(chuàng)建的class-map
asa(config-pmap-c)# inspect http policy1           //檢查http流量

（4）應(yīng)用policy-map到接口上。

asa(config)# service-policy policy2 interface inside

注意：一個接口只能應(yīng)用一個policy-map。

二、日志管理

    對于任何防火墻產(chǎn)品來說，最重要的功能之一就是對事件進行日志記錄，ASA使用同步日志（syslog）來記錄在防火墻上發(fā)生的所有事件。

1.日志信息的安全級別

    日志信息的安全級別分為八個等級，如圖所示：

    信息的緊急程度按照重要性從高到低排列，emergencies（非常緊急）的重要性最高，而debugging（調(diào)試）的重要性最低。

2.配置日志

    日志信息可以輸出到Log Buffer（日志緩沖區(qū)）、ASDM和日志服務(wù)器。

    在配置日志前，一般需要先配置時區(qū)和時間，配置如下：

（1）配置時區(qū)，命令如下：

asa(config)# clock timezone peking 8

    其中peking用來指明所在時區(qū)的名字，8是指相對于國際標(biāo)準(zhǔn)時間的偏移量，這個值的取值范圍為-23…23。

（2）配置時間，命令如下：

asa(config)# clock set 19:30:00 24 Sep 2017

然后可以分別配置Log Buffer、ASDM和日志服務(wù)器。

（3）配置Log Buffer，命令如下：

asa(config)# logging enable
asa(config)# logging buffered informational  //配置日志的級別，也可以寫6，表示6以上的級別（0-6級別）

注：Log Buffer（日志緩沖區(qū)） 的默認(rèn)大小是4KB。

asa(config)# show logging           //查看Log Buffer
asa(config)# clear logging buffer       //清除Log Buffer

（4）配置ASDM日志，命令如下：

asa(config)# logging enable
asa(config)# logging asdm informational         //表示6以上的級別 ，informational可用6表示 
asa(config)# clear logging  asdm              //清除ASDM

（5）配置日志服務(wù)器

    目前，有很多日志服務(wù)器軟件。Firewall Analyzer是一款基于Web的防火墻日志分析軟件，利用該軟件能夠監(jiān)控網(wǎng)絡(luò)周邊安全設(shè)備、收集和歸檔日志，并生成報表。Firewall Analyzer能夠幫助網(wǎng)絡(luò)安全管理員有效監(jiān)控帶寬和防火墻安全事件，全面了解網(wǎng)絡(luò)的安全狀況；監(jiān)控使用/未使用的防火墻策略并優(yōu)化策略；通過趨勢分析規(guī)劃網(wǎng)絡(luò)容量等。Firewall Analyzer支持多種設(shè)備/廠商，支持Windows和Linux平臺。

案例：如下圖所示，在win 2008上安裝Firewall Analyzer 6

①在ASA防火墻的配置如下：

asa(config)# logging enable
asa(config)# logging timestamp         //啟用時間戳
asa(config)# logging trap informational
asa(config)# logging host inside 192.168.0.1    //定義日志服務(wù)器的IP地址以及ASA的接口

    ASA與日志服務(wù)器的通信默認(rèn)使用UDP協(xié)議514端口。

②Firewall Analyzer 6安裝后，默認(rèn)會啟用兩個SyslogServer，分別監(jiān)聽UDP的514端口和1514端口。首先使用Firewall Analyzer 啟動服務(wù)程序，然后使用“Firewall Analyzer Web Client”進入用戶端界面，輸入初始用戶名和密碼。

③在主機Windows7上運行命令ping  192.168.0.1  -l  10000  -t 模擬***，然后在Firewall  Analyzer的Web界面上就可以查看到相應(yīng)的事件。

    在“安全統(tǒng)計”下單擊“查看Syslogs”可以查看詳細(xì)的日志信息。

④可以通過Firewall Analyzer的事件概要報表、安全報表生成報告。

三、透明模式

    ASA安全設(shè)備可以工作在兩種模式下，即路由模式和透明模式，默認(rèn)情況下ASA處于路由模式。

1.透明模式

    ASA從7.0版本開始支持透明模式。

    在路由默認(rèn)下，ASA充當(dāng)一個三層設(shè)備，基于目的Ip地址轉(zhuǎn)發(fā)數(shù)據(jù)包；在透明模式下，ASA充當(dāng)一個二層設(shè)備，基于目的MAC地址轉(zhuǎn)發(fā)數(shù)據(jù)楨（沒有配置NAT時）。

    在8.0之前的版本中，透明模式下不支持NAT，8.0及其后續(xù)版本支持NAT配置。如果配置了NAT，ASA轉(zhuǎn)發(fā)數(shù)據(jù)包仍然使用路由查找。

    處于透明模式下的ASA雖然是一個二層設(shè)備，但與交換機處理數(shù)據(jù)楨存在著不同。

* 對于目的MAC地址未知的單播數(shù)據(jù)楨，ASA不會泛洪而是直接丟棄。

* ASA不參與STP（生成樹協(xié)議）。

    透明模式下默認(rèn)允許穿越的目的MAC地址如下：

* 廣播MAC地址：FFFF.FFFF.FFFF

* Ipv4組播MAC地址從0100.5E00.0000到0100.5EFE.FFFF。

* Ipv6組播MAC地址從3333.0000.0000到3333.FFFF.FFFF。

* BPDU組播MAC地址：0100.0CCC.CCCD （Cisco私有）。

* AppleTalk組播MAC地址從0900.0700.0000到0900.07FF.FFFF。

    透明模式下默認(rèn)允許的三層流量如下：

* 允許Ipv4流量自動從高級別接口到低級別接口，而不必配置ACL。

* 允許ARP流量雙向穿越，而不必配置ACL。

    ASA在透明模式下運行時，繼續(xù)使用應(yīng)用層智能執(zhí)行狀態(tài)檢測和各項常規(guī)防火墻功能，但只支持兩個區(qū)域。

    透明模式下不需要再接口上配置Ip地址，這樣就不用重新設(shè)計現(xiàn)有的Ip網(wǎng)絡(luò)，方便部署。

2.透明模式的配置

（1）切換到透明模式，命令如下：

asa(config)# firewall transparent
ciscoasa(config)#

    需要注意的是：切換時會清除當(dāng)前的配置。

    查看當(dāng)前的工作模式的命令如下：

ciscoasa(config)# show firewall

    如果要重新切換到路由模式，需要使用命令：no firewall  transparent。

（2）管理IP地址

    需要為ASA分配一個IP地址用于管理目的，管理Ip地址必須處于同一個連接子網(wǎng)。ASA將管理IP地址用作源于ASA的分組的源IP地址，如系統(tǒng)消息、AAA或SYSLOG服務(wù)器。

    管理IP地址的配置命令如下

ciscoasa(config)#ip address ip [mask]

（3）MAC地址表及學(xué)習(xí)

ciscoasa# show mac-address-table        //查看MAC地址表
ciscoasa(config)# mac-address-table aging-time minutes      //設(shè)置動態(tài)MAC條目的過期時間（默認(rèn)5分鐘）
ciscoasa(config)# mac-address-table static logical_if_name mac_address      //設(shè)置靜態(tài)MAC條目
ciscoasa(config)# mac-learn logical_if_name disable       //禁止特定接口的MAC地址學(xué)習(xí)

案例1：如圖所示，公司為了網(wǎng)絡(luò)安全，新增了一臺防火墻，為了方便部署，將ASA配置為透明模式，管理IP地址配置為192.168.1.253

ASA的配置如下：

ciscoasa(config)# firewall transparent
ciscoasa(config)# hostname asa
asa(config)# int e0/0
asa(config-if)# no sh
asa(config-if)# nameif outside
asa(config-if)# security-level 0
asa(config)# int e0/1
asa(config-if)# no sh
asa(config-if)# nameif inside
asa(config-if)# security-level 100
asa(config-if)# exit
asa(config)# ip add 192.168.1.253 255.255.255.0       //配置管理IP地址

案例2：如下圖所示，為了增強托管服務(wù)器的安全，增加了一臺ASA并配置為透明模式，管理IP地址為209.165.201.1/28

ASA的配置如下：

ciscoasa(config)# firewall transparent
ciscoasa(config)# hostname asa
asa(config)# int e0/0
asa(config-if)# no shut
asa(config-if)# int e0/0.10
asa(config-if)# vlan 10
asa(config-if)# nameif inside
asa(config-if)# int e0/0.20
asa(config-if)# vlan 20
asa(config-if)# nameif outside
asa(config)# ip add 209.165.201.1 255.255.255.240
asa(config)# access-list ysf permit icmp any any 
asa(config)# access-list ysf permit tcp any any eq 80
asa(config)# access-list ysf permit tcp any any eq 21
asa(config)# access-list ysf permit tcp any any eq 25
asa(config)# access-list ysf deny ip any any
asa(config)# access-group ysf in interface outside