《計算機網絡安全防護技術（第二版）》 課件 第2章-任務2.6 控制主機對外網的訪問

第2章

防火墻技術與入侵防御技術任務2.6控制主機對外網的訪問編著：

秦燊勞翠金

計算機網絡中的防火墻可以將不安全的網絡與需要保護的網絡隔離開，并根據安全策略控制進出網絡的數據和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時刻監(jiān)視網絡中是否有異常流量并及時阻斷，進一步保護網絡的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應用，以及簡單IDS功能。本章案例拓撲如圖2-0-1所示。圖2-0-1防火墻技術實驗拓撲圖

為了提高企業(yè)網絡的安全性，引入了ASAv，并將網絡劃分成受信任的內網區(qū)域、對外提供服務的DMZ區(qū)域，不受信任的外網區(qū)域。其中OA、ERP、財務系統(tǒng)等僅供內部用戶使用的服務器放在受信息的企業(yè)內網中，對外提供服務的WEB服務器放在?；饏^(qū)（DMZ區(qū)域）中，內網用戶通過PAT動態(tài)地址轉換隱藏內部地址、訪問DMZ區(qū)域中的服務器和外網的服務器，DMZ區(qū)域的服務器通過NAT靜態(tài)地址轉換供外網訪問。內網用戶使用外網ISP提供的DNS服務。通過開啟IDS功能監(jiān)控和阻斷網絡中的異常流量。為實現這些功能，需要對ASAv進行以下基本配置：1.配置接口，ping通ASAv。ping能到達防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠程管理接入、配置主機名、域名、密碼。3.配置各設備的路由表。4.配置NAT。（1）使內網用戶能訪問外網的網站；（2）使內網用戶能訪問DMZ區(qū)域的網站；（3）使外網用戶能訪問DMZ區(qū)域的網站。5.配置ACL和Policy-map。（1）控制內網-的主機只能訪問域名末尾是的網站；（2）禁止內網的所有主機訪問域名末尾是的網站。6.配置ASAv的入侵檢測功能。任務2.6控制主機對外網的訪問一、控制主機只能訪問指定網站通過對ASAv防火墻進行ACL和Policy-map配置，控制內網-的主機只能訪問域名末尾是的網站。下面分別通過圖形界面和命令實現。1.圖形界面實現的方法如下：如圖2-4-2、2-4-3、2-4-6、2-4-7、2-4-8、2-4-9、2-4-10、2-4-11、2-4-12所示，在網絡管理員的win7電腦上，登錄進入ASAv的ASDM圖形配置界面，找到Configuation>Firewall>ServicePolicyRules，點擊“Add”按鈕。在彈出的對話框中，Interface選擇“Inside”，點擊“Next”按鈕，在彈出的對話框中，創(chuàng)建的trafficClass用默認值“Inside-Class”，勾選“SourceandDestinationIPAddress(useACL)”，點擊“Next”按鈕,在彈出的對話框中，Action用默認值“Match”，Source設置為“/29”，Destination設置為“any”，Service設置為“tcp/http”，點擊“Next”按鈕，在彈出的對話框中，勾選“HTTP”，點擊“Configure...”按鈕，在彈出的對話框中選擇“SelectanHTTPinspectmapforfinecontroloverinspection”選項，點擊“Add”按鈕，在彈出的對話框中，Name命名為“policy2”，點擊“Details”按鈕，在彈出的對話框中，選擇“Inspections”選項夾，點擊“Add”按鈕，在彈出的對話框中，選擇“SingleMatch”選項，MatchType選擇“NoMatch”選項，Criterion選擇“RequestHeaderField”選項，Field的Predefined值選擇“host”，Value的RegularExpression點擊“Manage...”按鈕自行定義，在彈出的對話框中，Name命名為“url1”，Value值設置為“\.lcvc\.cn”，用來代表以“”結尾的網址，多次點擊“OK”按鈕，完成配置。圖2-4-6圖形界面開啟對HTTP的監(jiān)控1圖2-4-7圖形界面開啟對HTTP的監(jiān)控2圖2-4-8圖形界面開啟對HTTP的監(jiān)控3圖2-4-9圖形界面開啟對HTTP的監(jiān)控4圖2-4-10圖形界面開啟對HTTP的監(jiān)控5圖2-4-11圖形界面開啟對HTTP的監(jiān)控6圖2-4-12圖形界面開啟對HTTP的監(jiān)控72.與圖形界面相同功能的命令如下：access-listfilter1extendedpermittcp48anyeqwwwclass-mapclass1matchaccess-listfilter1//class1用于匹配IP地址屬于-的主機。regexurl1"\.lcvc\.cn"http://正則表達式url1用于匹配“.”。class-maptypeinspecthttpmatch-allclass2matchnotrequestheaderhostregexurl1//class2用于匹配不是以“.”結尾的網站。policy-maptypeinspecthttppolicy1classclass2drop-connectionlog//對于符合class2條件的網站，即不以“.”結尾的網站，拒絕其連接并做日志記錄。policy-mappolicy2classclass1inspecthttppolicy1//對于符合class1條件的主機，即IP地址屬于-的主機，調用policy1這條policy-map。service-policypolicy2interfaceInside//將policy2應用到Inside接口上。3.測試內網-的主機能否訪問外網和這兩個網站。（1）在內網主機上測試。為避免上次實驗緩存對本次測試的影響，先關閉瀏覽器，再重新打開瀏覽器。（2）在瀏覽器上，輸入，可正常訪問。（3）在瀏覽器上，輸入，無法訪問。4.測試內網不屬于-的主機能否訪問外網和這兩個網站。（1）將內網主機的地址改為。（2）為避免上次實驗緩存對本次測試的影響，先關閉瀏覽器，再重新打開瀏覽器。（3）在瀏覽器上，輸入，可正常訪問。（4）在瀏覽器上，輸入，可正常訪問。二、禁止主機訪問指定網站禁止內網的所有主機訪問域名末尾是的網站，圖形界面的配置請讀者參看前例自行完成，用命令行配置的方法如下：1.在ASAv防火墻上，輸入以下命令：access-listfilter2extendedpermittcpanyanyeqwwwclass-mapclass3matchaccess-listfilter2regexurl2"\.game\.com"class-maptypeinspecthttpmatch-allclass4matchrequestheaderhostregexurl2policy-maptypeinspecthttppolicy3classclass4drop-connectionlogpolicy-mappolicy2classclass3inspecthttppolicy3//policy2已經在上例中應用到了Inside接口上，因此，不需要再次執(zhí)行service-policypolicy2interfaceInside命令。2.測試內網IP地址不屬于-范圍的主機能否正常訪問外網和這兩個網站。我們以IP地址為的主機進行測試：（1）為避免上次實驗緩存對本次測試的影響，先關閉瀏覽器，再重新打開瀏