第1页 / 共386页
第2页 / 共386页
第3页 / 共386页
第4页 / 共386页
第5页 / 共386页
第6页 / 共386页
第7页 / 共386页
第8页 / 共386页
思科ASA 9.4官方文档,中文版.pdf
关于本指南
文档目标
相关文档
约定
获取文档和提交服务请求
Cisco ASA 防火墙服务简介
如何实施防火墙服务
基本访问控制
应用过滤
URL 过滤
威胁防范
网络地址转换
应用检测
使用案例:在公共网络上显示服务器
访问控制
访问控制对象
对象指导原则
配置对象
配置网络对象和组
配置网络对象
配置网络对象组
配置服务对象和服务组
配置服务对象
配置服务组
配置本地用户组
配置安全组对象组
配置时间范围
监控对象
对象历史
访问控制列表
关于 ACL
ACL 类型
ACL 名称
访问控制条目顺序
允许/拒绝与匹配/不匹配
访问控制隐式拒绝
使用 NAT 时用于扩展 ACL 的 IP 地址
基于时间的 ACE
ACL 指导原则
配置 ACL
基本 ACL 配置和管理选项
配置扩展 ACL
添加扩展 ACE 以进行基于 IP 地址或完全限定域名的匹配
添加扩展 ACE 以进行基于 TCP 或 UDP 的匹配(含端口)
添加扩展 ACE 以进行基于 ICMP 的匹配
添加扩展 ACE 以进行基于用户的匹配(身份防火墙)
添加扩展 ACE 以进行基于安全组的匹配(Cisco TrustSec)
扩展 ACL 的示例
示例(为扩展 ACL 将地址转换为对象)
配置标准 ACL
配置 Webtype ACL
添加 Webtype ACE 以进行 URL 匹配
添加 Webtype ACE 以进行 IP 地址匹配
Webtype ACL 的示例
配置 EtherType ACL
EtherType ACL 的示例
在隔离配置会话中编辑 ACL
监控 ACL
ACL 历史
访问规则
控制网络访问
有关规则的一般信息
接口访问规则和全局访问规则
入站和出站规则
规则顺序
隐式允许
隐式拒绝
NAT 和访问规则
扩展访问规则
用于返回流量的扩展访问规则
使用访问规则允许通过透明防火墙的广播和组播流量
管理访问规则
EtherType 规则
受支持的 EtherType 流量和其他流量
返回流量的 EtherType 规则
允许 MPLS
访问控制指导原则
配置访问控制
配置访问组
配置 ICMP 访问规则
监控访问规则
评估访问规则的系统日志消息
允许或拒绝网络访问的配置示例
访问规则历史记录
身份防火墙
关于身份防火墙
身份防火墙部署的架构
身份防火墙功能
部署方案
身份防火墙指导原则
身份防火墙的必备条件
配置身份防火墙
配置 Active Directory 域
配置 Active Directory 代理
配置身份选项
配置基于身份的安全策略
收集用户统计信息
身份防火墙示例
AAA 规则和访问规则示例 1
AAA 规则和访问规则示例 2
VPN 过滤器示例
使用 IDFW 规则的 VPN - 示例 1
使用 IDFW 规则的 VPN - 示例 2
监控身份防火墙
身份防火墙的历史记录
ASA 和 Cisco TrustSec
关于 Cisco TrustSec
Cisco TrustSec 中的 SGT 和 SXP 支持
Cisco TrustSec 功能中的角色
安全组策略实施
ASA 如何实施基于安全组的策略
安全组更改对 ISE 产生的影响
ASA 上的说话者和收听者角色
SXP 通信速率
SXP 计时器
IP-SGT 管理器数据库
ASA-Cisco TrustSec 集成的功能
向 ISE 注册 ASA
在 ISE 上创建安全组
生成 PAC 文件
Cisco TrustSec 指导原则
为 Cisco TrustSec 集成配置 AAA 服务器
导入 PAC 文件
配置安全交换协议
添加 SXP 连接对等体
刷新环境数据
配置安全策略
第 2 层安全组标记实施
使用场合
在接口上配置安全组标记
手动配置 IP-SGT 绑定
故障排除提示
Cisco TrustSec 的示例
面向 Cisco TrustSec 的 AnyConnect VPN 支持
远程用户连接服务器的常见步骤
将 SGT 添加到本地用户和组
监控 Cisco TrustSec
Cisco TrustSec 的历史记录
ASA FirePOWER 模块
关于 ASA FirePOWER 模块
ASA FirePOWER 模块如何与 ASA 配合使用
ASA FirePOWER 内联模式
ASA FirePOWER 内联分流仅监控模式
ASA FirePOWER 被动仅监控流量转发模式
ASA FirePOWER 管理
与 ASA 功能的兼容性
ASA FirePOWER 模块的许可要求
ASA FirePOWER 的规定
ASA FirePOWER 的默认值
执行初始 ASA FirePOWER 设置
在网络中部署 ASA FirePOWER 模块
ASA 5585-X(硬件模块)
ASA 5506-X 到 ASA 5555-X(软件模块)
访问 ASA FirePOWER CLI
配置 ASA FirePOWER 基本设置
配置 ASA FirePOWER 模块
在 ASA FirePOWER 模块上配置安全策略
将流量重定向到 ASA FirePOWER 模块
配置内联或内联分流仅监控模式
配置被动流量转发
管理 ASA FirePOWER 模块
安装或重新映像模块
安装或重新映像软件模块
重新映像 ASA 5585-X ASA FirePOWER 硬件模块
重置密码
重新加载或重置模块
关闭模块
卸载软件模块映像
从 ASA 向软件模块发起会话
升级系统软件
监控 ASA FirePOWER 模块
显示模块状态
显示模块统计信息
监控模块连接
ASA FirePOWER 模块的示例
ASA FirePOWER 模块的历史记录
ASA 和思科云网络安全
关于思科云网络安全的信息
用户身份和云网络安全
身份验证密钥
ScanCenter 策略
目录组
自定义组
组和身份验证密钥如何进行互操作
从主代理服务器到备用代理服务器的故障切换
思科云网络安全的许可要求
云网络安全指导原则
配置思科云网络安全
配置与云 Web 的安全代理服务器的通信
标识列入白名单的流量
将服务策略配置为将流量发送到云网络安全
配置用户身份监控
配置云网络安全策略
监控云网络安全
思科云网络安全的示例
采用身份防火墙的云网络安全示例
身份防火墙的 Active Directory 集成示例
思科云网络安全的历史记录
网络地址转换
网络地址转换 (NAT)
为何使用 NAT?
NAT 基础知识
NAT 术语
NAT 类型
网络对象 NAT 和两次 NAT
网络对象 NAT
两次 NAT
网络对象 NAT 和两次 NAT 的比较
NAT 规则顺序
NAT 接口
NAT 指导原则
NAT 的防火墙模式指导原则
IPv6 NAT 指导原则
IPv6 NAT 建议
NAT 的其他指导原则
映射地址对象的网络对象 NAT 指导原则
实际和映射地址对象的两次 NAT 指导原则
实际端口和映射端口服务对象的两次 NAT 指导原则
动态 NAT
关于动态 NAT
动态 NAT 的缺点和优点
配置动态网络对象 NAT
配置动态两次 NAT
动态 PAT
关于动态 PAT
动态 PAT 的缺点和优点
PAT 池对象指导原则
配置动态网络对象 PAT
配置动态两次 PAT
配置每会话 PAT 或多会话 PAT
静态 NAT
关于静态 NAT
支持端口转换的静态 NAT
一对多静态 NAT
其他映射场景(不推荐)
配置静态网络对象 NAT 或带端口转换的静态 NAT
配置静态两次 NAT 或带端口转换的静态 NAT
身份 NAT
配置身份网络对象 NAT
配置身份两次 NAT
监控 NAT
NAT 历史记录
NAT 示例和参考
网络对象 NAT 示例
提供到内部 Web 服务器的访问(静态 NAT)
面向内部主机的 NAT(动态 NAT)和面向外部 Web 服务器的 NAT (静态 NAT)
有多个映射地址的内部负载均衡器(静态 NAT,一对多)
用于 FTP、HTTP 和 SMTP(支持端口转换的静态 NAT)的单一地址
两次 NAT 的示例
取决于目标的不同转换(动态两次 PAT)
取决于目标地址和端口的不同转换(动态 PAT)
示例:支持目标地址转换的两次 NAT
路由和透明模式下的 NAT
路由模式下的 NAT
透明模式下的 NAT
路由 NAT 数据包
映射地址和路由
与映射接口位于同一网络中的地址
唯一网络上的地址
与实际地址相同的地址(身份 NAT)
远程网络的透明模式路由要求
确定出口接口
面向 VPN 的 NAT
NAT 和远程访问 VPN
NAT 和站点到站点 VPN
NAT 和 VPN 管理访问
NAT 和 VPN 故障排除
DNS 和 NAT
DNS 应答修改,外部接口上的 DNS 服务器
独立网络上的 DNS 应答修改、DNS 服务器、主机和服务器
DNS 应答修改,主机网络上的 DNS 服务器
使用外部 NAT 进行 DNS64 应答修改
PTR 修改,主机网络上的 DNS 服务器
服务策略和应用检测
使用模块化策略框架的服务策略
关于服务策略
服务策略的组成部分
使用服务策略配置的功能
功能方向性
服务策略内的功能匹配
应用多项功能操作的顺序
某些功能操作的不兼容性
多项服务策略的功能匹配
服务策略指导原则
服务策略的默认设置
服务策略默认配置
默认类映射(流量类)
配置服务策略
识别流量(第 3/4 层类映射)
为直通流量创建第 3/4 层类映射
为管理流量创建第 3/4 层类映射
定义操作(第 3/4 层策略映射)
将操作应用到接口(服务策略)
监控服务策略
服务策略示例(模块化策略框架)
将检测和 QoS 策略管制应用到 HTTP 流量
将检测全局应用到 HTTP 流量
将检测和连接限制应用到流向特定服务器的 HTTP 流量
通过 NAT 将检测应用到 HTTP 流量
服务策略历史记录
应用层协议检测入门
应用层协议检测
检测引擎如何工作
何时使用应用协议检测
检测策略映射
替换使用中的检测策略映射
如何处理多个流量类
应用检测指导原则
应用检测默认操作
默认检测和 NAT 限制
默认检测策略映射
配置应用层协议检测
选择要检测的正确流量类
配置正则表达式
创建正则表达式
创建正则表达式类映射
应用检测历史记录
基本互联网协议检测
DNS 检测
DNS 检测操作
DNS 检测的默认设置
配置 DNS 检测
配置 DNS 检测策略映射
配置 DNS 检测服务策略
监控 DNS 检测
FTP 检测
FTP 检测概述
严格 FTP
配置 FTP 检测
配置 FTP 检测策略映射
配置 FTP 检测服务策略
验证和监控 FTP 检测
HTTP 检测
HTTP 检测概述
配置 HTTP 检测
配置 HTTP 检测策略映射
配置 HTTP 检测服务策略
ICMP 检测
ICMP 错误检测
即时消息检测
配置即时消息检测策略映射
配置 IM 检测服务策略
IP 选项检测
IP 选项检测概述
清除选项时会发生的情况
支持检测的 IP 选项
IP 选项检测的默认设置
配置 IP 选项检测
配置 IP 选项检测策略映射
配置 IP 选项检测服务策略
监控 IP 选项检测
IPsec 穿透检测
IPsec 穿透检测概述
配置 IPsec 穿透检测
配置 IPsec 穿透检测策略映射
配置 IPSec 穿透检测服务策略
IPv6 检测
IPv6 检测的默认设置
配置 IPv6 检测
配置 IPv6 检测策略映射
配置 IPv6 检测服务策略
NetBIOS 检测
为其他检测控制配置 NetBIOS 检测策略映射
配置 NetBIOS 检测服务策略
PPTP 检测
SMTP 检测和扩展 SMTP 检测
SMTP 检测和 ESMTP 检测概述
ESMTP 检测的默认设置
配置 ESMTP 检测
配置 ESMTP 检测策略映射
配置 ESMTP 检测服务策略
TFTP 检测
语音和视频协议的检测
CTIQBE 检测
CTIQBE 检测的局限性
验证和监控 CTIQBE 检测
H.323 检测
H.323 检测概述
H.323 工作原理
H.245 消息中的 H.239 支持
H.323 检测的局限性
配置 H.323 检测
配置 H.323 检测策略映射
配置 H.323 检测服务策略
配置 H.323 和 H.225 超时值
验证和监控 H.323 检测
监控 H.225 会话
监控 H.245 会话
监控 H.323 RAS 会话
MGCP 检测
MGCP 检测概述
配置 MGCP 检测
为其他检测控制配置 MGCP 检测策略映射
配置 MGCP 测服务策略
配置 MGCP 超时值
验证和监控 MGCP 检测
RTSP 检测
RTSP 检测概述
RealPlayer 配置要求
RSTP 检测的局限性
配置 RTSP 检测
配置 RTSP 检测策略映射
配置 RTSP 检测服务策略
SIP 检测
SIP 检测概述
SIP 检测的局限性
默认 SIP 检测
配置 SIP 检测
配置 SIP 检测策略映射
配置 SIP 检测服务策略
配置 SIP 超时值
验证和监控 SIP 检测
瘦客户端 (SCCP) 检测
SCCP 检测概述
支持思科 IP 电话
SCCP 检测的局限性
默认 SCCP 检测
配置 SCCP(瘦客户端)检测
为其他检测控制配置配置瘦客户端 (SCCP) 检测策略映射
配置 SCCP 检测服务策略
验证和监控 SCCP 检测
语音和视频协议检测的历史记录
数据库、目录和管理协议的检测
DCERPC 检测
DCERPC 概述
配置 DCERPC 检测
配置 DCERPC 检测策略映射
配置 DCERPC 检测服务策略
GTP 检测
GTP 检测概述
GTP 检测的默认设置
配置 GTP 检测
配置 GTP 检测策略映射
配置 GTP 检测服务策略
验证和监控 GTP 检测
ILS 检测
RADIUS 计费检测
RADIUS 计费检测概述
配置 RADIUS 计费检测
配置 RADIUS 检测策略映射
配置 RADIUS 计费检测服务策略
RSH 检测
SNMP 检测
SQL*Net 检测
Sun RPC 检测
Sun RPC 检测概述
管理 Sun RPC 服务
验证和监控 Sun RPC 检测
XDMCP 检测
VXLAN 检测
数据库、目录和管理协议检测的历史记录
连接管理和威胁检测
连接设置
什么是连接设置?
配置连接设置
配置全局超时
保护服务器免受 SYN 泛洪 DoS 攻击(TCP 拦截)
自定义异常 TCP 数据包处理(TCP 映射、TCP 规范器)
绕过异步路由的 TCP 状态检查(TCP 状态绕行)
异步路由问题
TCP 状态绕行规定
配置 TCP 状态绕行
禁用 TCP 序列随机化
为特定流量类配置连接设置(所有服务)
监控连接
连接设置历史
服务质量
关于 QoS
支持的 QoS 功能
什么是令牌桶?
策略管制
优先级排队
QoS 功能如何交互
DSCP (DiffServ) 保留
QoS 指导原则
配置 QoS
确定优先级队列的队列和传输环路限制
队列限制工作表
传输环路限制工作表
配置接口的优先级队列
配置优先级排队和策略管制的服务规则
监控 QoS
QoS 策略统计信息
QoS 优先级统计信息
QoS 优先级队列统计信息
优先级排队和策略管制的配置示例
VPN 流量的类映射示例
优先级和策略管制示例
QoS 历史记录
威胁检测
检测威胁
基本威胁检测统计信息
高级威胁检测统计信息
扫描威胁检测
威胁检测指导原则
威胁检测的默认设置
配置威胁检测
配置基本威胁检测统计信息
配置高级威胁检测统计信息
配置扫描威胁检测
监控威胁检测
监控基本威胁检测统计信息
监控高级威胁检测统计信息
评估主机威胁检测统计信息
监控被避开的主机、攻击者和攻击目标
威胁检测示例
威胁检测历史
思科 ASA 系列防火墙 CLI 配置指南
软件版本 9.4
适用于 ASA 5506-X、 ASA 5506H-X、 ASA 5506W-X、 ASA 5508-X、
ASA 5512-X、ASA 5515-X、ASA 5516-X、ASA 5525-X、ASA 5545-X、
ASA 5555-X、 ASA 5585-X、 ASA 服务模块和自适应安全虚拟设备
首次发行日期:2015 年 3 月 23 日
最后更新日期:2015 年 4 月 7 日
思科系统公司
www.cisco.com
思科在全球设有 200 多个办事处。
有关地址、电话号码和传真号码信息,
可查阅思科网站:
www.cisco.com/go/offices 。
文本部件号: 不适用,仅在线提供
本手册中有关产品的规格和信息如有更改,恕不另行通知。本手册中的所有声明、信息和建议均准确可靠,但我们
不为其提供任何明示或暗示的担保。用户必须承担使用产品的全部责任。
随附产品的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分。如果您无法找到软件许可或有限担保,请与思科代表联系以获取副本。
思科所采用的 TCP 信压缩是加州大学伯克莱分校 (UCB) 开发的一个程序的改版,是 UCB 的 UNIX 操作系统公共域版本的一部分。保留所有权利。版权所有 © 1981,
加州大学董事会。
无论在该手册中是否作出了其他担保,来自这些供应商的所有文档文件和软件都按 “原样”提供且仍有可能存在缺陷。思科和上述供应商不承诺所有明示或暗示
的担保,包括 (但不限于)对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保。
在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括 (但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其
供应商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。要查看思科商标列表,请转至此 URL:www.cisco.com/go/trademarks 。文中提
及的第三方商标为其相应所有者的财产。“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。 (1110R)
本文档中使用的任何互联网协议 (IP) 地址和电话号码并非实际地址和电话号码。本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用。
说明性内容中用到的任何真实 IP 地址或电话号码纯属巧合,并非有意使用。
思科 ASA 系列防火墙 CLI 配置指南
© 2015 思科系统公司。版权所有。
关于本指南
• 文档目标,第 iii 页
相关文档,第 iii 页
约定,第 iii 页
获取文档和提交服务请求,第 iv 页
文档目标
相关文档
约定
本指南旨在帮助您使用命令行界面配置 Cisco ASA 系列的防火墙功能。本指南仅介绍最常见的一
些配置场景,并未涵盖所有功能。
您也可以使用思科自适应安全设备管理器 (ASDM) (一种基于 Web 的 GUI 应用)来配置和监控
ASA。 ASDM 提供配置向导指导您完成一些常见配置场景,并提供联机帮助以使您获得不常见场
景的信息。
本指南中,术语 “ASA”一般适用于所支持的型号,除非另有说明。
有关详细信息,请参阅 《思科 ASA 系列文档导航》,网址为:http://www.cisco.com/go/asadocs 。
本文档使用下列约定:
约定
粗体
斜体
[ ]
{x | y | z }
[ x | y | z ]
说明
命令和关键字及用户输入的文本以粗体显示。
文档标题、新出现或强调的术语,以及要为其提供数值的参数以斜体显示。
方括号中的元素是可选项。
必需的备选关键字集中在大括号内,以竖线分隔。
可选的备选关键字集中在方括号内,以竖线分隔。
思科 ASA 系列防火墙 CLI 配置指南
iii
字符串
courier 字体
courier 粗体
courier 斜体
< >
[ ]
!, #
不加引号的字符集。请勿将字符串用引号引起来,否则会将引号视为字符
串的一部分。
系统显示的终端会话和信息以 courier 字体显示。
命令和关键字及用户输入的文本以 courier 粗体显示。
需要提供值的参数以 courier 斜体显示。
非打印字符 (如密码)括在尖括号中。
系统提示的默认回复括在方括号中。
代码行开头的感叹号 (!) 或井字号 (#) 表示注释行。
备注 表示读者需要注意的地方。
提示 表示以下信息有助于您解决问题。
注意 表示读者应当小心处理。在这种情况下,操作可能会导致设备损坏或数据丢失。
获取文档和提交服务请求
有关获取文档、使用思科漏洞搜索工具 (BST)、提交服务请求和收集其他信息的信息,请参阅思科
产品文档更新,其网址为:http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html 。
通过 RSS 摘要的方式订阅思科产品文档更新,其中列出了所有最新及修订的思科技术文档,相关内
容将通过阅读器应用程序直接发送至您的桌面。 RSS 摘要是一种免费服务。
思科 ASA 系列防火墙 CLI 配置指南
iv
1
章
第
Cisco ASA 防火墙服务简介
首次发布日期:2015 年 3 月 23 日
最后更新日期:2015 年 4 月 7 日
防火墙服务是侧重于控制网络访问的 ASA 功能,包括阻止流量的服务和实现在内部网络与外部
网络之间传输流量的服务。这些服务包括保护网络免受威胁 (例如拒绝服务 [DoS] 及其他攻击)
的服务。
以下主题概括介绍防火墙服务。
如何实施防火墙服务,第 1-1 页
基本访问控制,第 1-2 页
应用过滤,第 1-2 页
URL 过滤,第 1-3 页
威胁防范,第 1-3 页
网络地址转换,第 1-4 页
应用检测,第 1-4 页
使用案例:在公共网络上显示服务器,第 1-4 页
如何实施防火墙服务
以下操作步骤介绍实施防火墙服务的通用顺序。但每个步骤都是可选步骤,只有在您要为网络提
供该服务时才需要使用。
准备工作
根据常规操作配置指南配置 ASA,包括最低基本设置、接口配置、路由和管理访问。
操作步骤
步骤 1 实施网络访问控制。请参阅基本访问控制,第 1-2 页。
步骤 2 实施应用过滤。请参阅应用过滤,第 1-2 页。
步骤 3 实施 URL 过滤。请参阅 URL 过滤,第 1-3 页。
步骤 4 实施威胁防范。请参阅威胁防范,第 1-3 页。
思科 ASA 系列防火墙 CLI 配置指南
1-1
基本访问控制
第 1 章 Cisco ASA 防火墙服务简介
步骤 5 实施网络地址转换 (NAT)。请参阅网络地址转换,第 1-4 页。
步骤 6 实施应用检测 (如果默认设置不能满足网络要求)。请参阅应用检测,第 1-4 页。
基本访问控制
访问规则是第一道防线,按接口或全局进行应用。可以在特定类型的流量进入后丢弃该流量,或
者丢弃流出 (或流入)特定主机或网络的流量。默认情况下, ASA 允许流量自由地从内部网络
(安全级别较高)流向外部网络 (安全级别较低)。
可以应用访问规则,以限制从内部到外部的流量,或者允许从外部到内部的流量。
基本访问规则使用 “5 元组”的源地址和端口、目标地址和端口以及协议控制流量。
可以通过对规则进行身份感知来扩充规则。这样便可以根据用户身份或组成员身份配置规则。要
实施身份控制,请执行以下操作的任意组合:
在一台单独的服务器上安装 Cisco Context Directory Agent (CDA),也称为 AD 代理,用于收
集 Active Directory (AD) 服务器中已定义的用户和组信息。然后,将 ASA 配置为获取此信
息,并向访问规则添加用户或组条件。
在一台单独的服务器上安装思科身份服务引擎 (ISE),用于实施 Cisco Trustsec。然后,可以向
访问规则添加安全组条件。
在 ASA 上安装 ASA FirePOWER 模块,并在该模块中实施身份策略。 ASA FirePOWER 中的
身份感知访问策略将应用于重定向到该模块的所有流量。
相关主题
访问控制列表,第 3-1 页
访问规则,第 4-1 页
身份防火墙,第 5-1 页
ASA 和 Cisco TrustSec,第 6-1 页
ASA FirePOWER 模块,第 7-1 页
应用过滤
随着基于 Web 的应用的广泛使用,大量流量通过 HTTP 或 HTTPS 协议进行传输。使用传统的
5 元组访问规则,可以允许或禁止所有 HTTP/HTTPS 流量。这可能需要对网络流量进行更精细
的控制。
可以在 ASA 上安装模块,以提供应用过滤,从而根据所使用的应用选择性地允许 HTTP 或其他流
量,因此无需对 HTTP 执行一揽子允许操作。可以查看流量的内部情况,阻止网络不接受的应用
(例如,不适当的文件共享)。当为应用过滤添加模块时,请勿在 ASA 上配置 HTTP 检测。
要实施应用过滤,请在 ASA 上安装 ASA FirePOWER 模块并在 ASA FirePOWER 访问规则中使用
应用过滤条件。这些策略将应用于重定向到该模块的所有流量。
相关主题
ASA FirePOWER 模块,第 7-1 页
思科 ASA 系列防火墙 CLI 配置指南
1-2
第 1 章 Cisco ASA 防火墙服务简介
URL 过滤
URL 过滤
URL 过滤根据目标站点的 URL 拒绝或允许流量。
URL 过滤的目的主要是完全阻止或允许对某个网站的访问。虽然可以将单个页面作为目标,但通
常是指定主机名 (例如 www.example.com )或 URL 类别,从而定义提供特定类型服务 (如赌
博)的主机名列表。
当尝试决定是为 HTTP/HTTPS 流量使用 URL 过滤还是应用过滤时,请考虑是否要创建应用于定
向至某个网站的所有流量的策略。如果打算以相同的方式处理所有此类流量 (拒绝或允许),
请使用 URL 过滤。如果打算选择性地阻止或允许流向网站的流量,请使用应用过滤。
要实施 URL 过滤,请执行以下操作之一:
订用云网络安全服务,通过该服务,可以在 ScanCenter 中配置过滤策略,然后将 ASA 配置为
向云网络安全帐户发送流量。
在 ASA 上安装 ASA FirePOWER 模块,并在 ASA FirePOWER 访问规则中使用 URL 过滤条
件。这些策略将应用于重定向到该模块的所有流量。
相关主题
ASA 和思科云网络安全,第 8-1 页
ASA FirePOWER 模块,第 7-1 页
威胁防范
可以执行许多措施,来防御扫描、拒绝服务 (DoS) 及其他攻击。有多种 ASA 功能可通过应用连接限
制和丢弃异常 TCP 数据包,帮助防御攻击。某些功能是自动功能,某些功能可配置,但大多数情
况下有适用的默认设置,而其他功能则完全可选,如果要使用这些可选功能,必须进行配置。
以下是 ASA 提供的威胁防范服务。
IP 数据包分片保护 - ASA 对所有 ICMP 错误消息执行完全重组,并对通过 ASA 路由的剩余 IP
分片执行虚拟重组,并丢弃未通过安全检查的分片。无需进行配置。
连接限制、TCP 规范化及其他连接相关的功能 - 配置连接相关的服务,例如 TCP 和 UDP 连接
限制与超时、TCP 序列号随机化、TCP 规范化以及 TCP 状态绕行。TCP 规范化旨在丢弃出现
异常的数据包。
例如,可以限制 TCP 和 UDP 连接及初期连接 (源与目标之间尚未完成必要握手的连接请求)。
限制连接和半开连接的数量可防止遭受 DoS 攻击。ASA 通过限制初期连接的数量来触发 TCP
拦截,从而防止内部系统受到 DoS 攻击 (这种攻击使用 TCP SYN 数据包对接口发起泛洪
攻击)。
威胁检测 - 在 ASA 上实施威胁检测,收集统计信息来帮助识别攻击。默认情况下启用基本威
胁检测,但您可以实施高级统计和扫描威胁检测功能。可以避开标识为扫描威胁的主机。
下一代 IPS - 在 ASA 上安装 ASA FirePOWER 模块并在 ASA FirePOWER 中实施下一代 IPS 入
侵规则。这些策略将应用于重定向到 ASA FirePOWER 的所有流量。
相关主题
连接设置,第 16-1 页
威胁检测,第 18-1 页
ASA FirePOWER 模块,第 7-1 页
思科 ASA 系列防火墙 CLI 配置指南
1-3
网络地址转换
网络地址转换
第 1 章 Cisco ASA 防火墙服务简介
网络地址转换 (NAT) 的主要功能之一是使专用 IP 网络可以连接到互联网。NAT 用公用 IP 地址替换
专用 IP 地址,将内部专用网络中的专用地址转换为可在公用互联网上使用的合法可路由地址。通
过这种方式, NAT 即可保存公用地址,因为您至少可以为整个网络向外部网络通告一个公用地址。
NAT 的其他功能包括:
安全 - 隐藏内部 IP 地址可以阻止直接攻击。
灵活性 - 可以更改内部 IP 寻址方案,而不影响外部的可用公用地址;例如,对于可以访问互
IP 路由解决方案 - 使用 NAT 时不会出现重叠 IP 地址。
联网的服务器,可以维护供互联网使用的固定 IP 地址,但在内部,可以更改服务器地址。
在 IPv4 和 IPv6 之间转换 (仅路由模式) - 如果想将 IPv6 网络连接到 IPv4 网络,可以利用
NAT 在两种类型的地址之间转换。
不需要 NAT。如果不为一组给定流量配置 NAT,将不转换这些流量,但会正常应用所有安全策略。
相关主题
网络地址转换 (NAT),第 9-1 页
NAT 示例和参考,第 10-1 页
应用检测
对于在用户数据包中嵌入 IP 寻址信息的服务或在动态分配端口上打开辅助信道的服务,需要使用应用
检测引擎。这些协议需要 ASA 执行深度数据包检测,以打开所需的针孔并应用网络地址转换 (NAT)。
默认 ASA 策略已针对多种常见协议 (例如 DNS、FTP、SIP、ESMTP、TFTP 等)全局应用检测。
默认检测可能满足您对网络的所有需求。
但是,您可能需要启用其他协议的检测,或者优化检测。许多检测都包含详细的选项,您可以根
据这些选项的内容来控制数据包。如果非常熟悉某个协议,可以对该流量应用精细控制。
使用服务策略配置应用检测。可以配置全局服务策略,还可以向每个接口应用服务策略,或者同
时使用这两种方式。
相关主题
使用模块化策略框架的服务策略,第 11-1 页
应用层协议检测入门,第 12-1 页
基本互联网协议检测,第 13-1 页
语音和视频协议的检测,第 14-1 页
数据库、目录和管理协议的检测,第 15-1 页
使用案例:在公共网络上显示服务器
可以在公共网络上显示服务器上的某些应用服务。例如,可以开放 Web 服务器,以便用户可以连
接到网页,但不与服务器建立任何其他连接。
要在公共网络上开放服务器,通常需要创建允许连接和 NAT 规则的访问规则,以在服务器的内
部 IP 地址与公共网络可以使用的外部地址之间转换。此外,如果不希望外部开放的服务使用与内
思科 ASA 系列防火墙 CLI 配置指南
1-4
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
