《计算机网络安全防护技术（第二版）》 课件 第2章-任务2.6 控制主机对外网的访问.pptx

第2章

防火墙技术与入侵防御技术;计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。;为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。

;为实现这些功能，需要对ASAv进行以下基本配置：

1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。

2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。

3.配置各设备的路由表。

4.配置NAT。

（1）使内网用户能访问外网的网站；

（2）使内网用户能访问DMZ区域的网站；

（3）使外网用户能访问DMZ区域的网站。

5.配置ACL和Policy-map。

（1）控制内网-的主机只能访问域名末尾是的网站；

（2）禁止内网的所有主机访问域名末尾是的网站。

6.配置ASAv的入侵检测功能。;任务2.6控制主机对外网的访问;;;;;2.与图形界面相同功能的命令如下：

access-listfilter1extendedpermittcp48anyeqwww

class-mapclass1

matchaccess-listfilter1

//class1用于匹配IP地址属于-的主机。

regexurl1\.lcvc\.cn

//正则表达式url1用于匹配“.”。

class-maptypeinspecthttpmatch-allclass2

matchnotrequestheaderhostregexurl1

//class2用于匹配不是以“.”结尾的网站。

policy-maptypeinspecthttppolicy1

classclass2

drop-connectionlog

//对于符合class2条件的网站，即不以“.”结尾的网站，拒绝其连接并做日志记录。

policy-mappolicy2

classclass1

inspecthttppolicy1

//对于符合class1条件的主机，即IP地址属于-的主机，调用policy1这条policy-map。

service-policypolicy2interfaceInside

//将policy2应用到Inside接口上。;3.测试内网-的主机能否访问外网和这两个网站。

（1）在内网主机上测试。为避免上次实验缓存对本次测试的影响，先关闭浏览器，再重新打开浏览器。

（2）在浏览器上，输入，可正常访问。

（3）在浏览器上，输入，无法访问。

4.测试内网不属于-的主机能否访问外网和这两个网站。

（1）将内网主机的地址改为。

（2）为避免上次实验缓存对本次测试的影响，先关闭浏览器，再重新打开浏览器。

（3）在浏览器上，输入，可正常访问。

（4）在浏览器上，输入，可正常访问。;二、禁止主机访问指定网站

禁止内网的所有主机访问域名末尾是的网站，图形界面的配置请读者参看前例自行完成，用命令行配置的方法如下：

1.在ASAv防火墙上，输入以下命令：

access-listfilter2extendedpermittcpanyanyeqwww

class-mapclass3

matchaccess-listfilter2

regexurl2\.game\.com

class-maptypeinspecthttpmatch-allclass4

matchrequestheaderhostregexurl2

policy-maptypeinspecthttppolicy3

classclass4

drop-connectionlog

policy-mappolicy2

classclass3

inspecthttppolicy3

//policy2