《计算机网络安全防护技术（第二版）》 课件 第2章-任务2.5控制穿越防火墙的流量.pptx

第2章

防火墙技术与入侵防御技术;计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。;为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。

;为实现这些功能，需要对ASAv进行以下基本配置：

1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。

2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。

3.配置各设备的路由表。

4.配置NAT。

（1）使内网用户能访问外网的网站；

（2）使内网用户能访问DMZ区域的网站；

（3）使外网用户能访问DMZ区域的网站。

5.配置ACL和Policy-map。

（1）控制内网-的主机只能访问域名末尾是的网站；

（2）禁止内网的所有主机访问域名末尾是的网站。

6.配置ASAv的入侵检测功能。;任务2.5控制穿越防火墙的流量;1.命令行方式的配置，分析如下：

用“showrun”命令和“class-mapinspection_default”下的“match?”命令，可以查看系统默认的MPF（ModularPolicyFramework）。通过这些命令，可以看到：

service-policyglobal_policyglobal ①

policy-mapglobal_policy ②

classinspection_default ③

inspectip-options ④

inspectnetbios

inspectrtsp

inspectsunrpc

inspecttftp

inspectxdmcp

inspectdnspreset_dns_map

inspectftp

inspecth323h225

inspecth323ras

inspectrsh

inspectesmtp

inspectsqlnet

inspectsip;inspectskinny ⑤

class-mapinspection_default ⑥

matchdefault-inspection-traffic ⑦

default-inspection-traffic: ⑧

ctiqbe----tcp--2748diameter--tcp--3868

diameter--tcp/tls--5868diameter--sctp-3868

dns-------udp--53ftp-------tcp--21

gtp-------udp--2123,3386h323-h225-tcp--1720

h323-ras--udp--1718-1719http------tcp--80

icmp------icmpils-------tcp--389

ip-options-----rsvpm3ua------sctp-2905

mgcp------udp--2427,2727netbios---udp--137-138

radius-acct----udp--1646rpc-------udp--111

rsh-------tcp-