0
点赞
收藏
分享

微信扫一扫

Cisco ASA 三~四层模块化策略框架

网络访问控制列表

ACL主要功能如下:

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略

ACL主要是基于五元组(源目的IP、源目的端口、协议)做perimit和deny。但是对于其他策略,例如最大连接数等无法管理,所以需要引入模块化策略

思科模块化策略框架

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_02

Class-Map

主要功能:

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_03

class-map配置参数

#1、创建class-map
class-map Class_1

#2、关联参数
match ? #具体参数如下

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_04

路由器和防火墙的class-map

class-map all是必须所有条件满足才触发(全true)、class-map any是满足一条即可触发(与或)

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_05

Match-all和Match-any

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_06

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_07

关于Class-Map多重组合

组合一:对列表所抓取的流量。执行默认序列中所有监控协议的检查

match default-inspection-traffic + match access-list

组合二:除match any 、match access-list、match default-inspection-traffic

match tunnel group

Policy-Map

主要功能:

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_08

policy-map配置参数

#1、创建Policy-Map
policy-map Policy_1

#2、关联Class-Map
class Class_1

#3、配置执行的动作
功能如下图

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_09

Policy-Map部署注意事项

一个policy-map可以包含多个class-map策略(理解为交警部门可以执行多个动作:查酒驾、查证件、查事故)
一个策略包含一个class-map和它所关联的行为
在一个policy-map中,一个行为类型一个数据包只匹配一个calss-map
状态化处理的数据包仅仅只匹配上第一个策略
每个接口只允许存在一个policy-map,全局也只均匀存在衣蛾policy-map

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_10

Service-Policy

主要功能:

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_11

Service-Policy配置参数

#1、应用于接口
service-policy Policy_1 interface Outside

#2、应用于全局(系统默认)
service-policy Policy_1 global

接口和全局的区别

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_12

模块化应用场景

1、网管流量限制

基于telnet和ssh流量限制最大连接数

2、ICMP与ESP协议监控

监控ICMP,确保返回流量吮吸穿越ASA
监控ESP,配置IPSec-pass-through确保VPN建立成功

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_13

3、TCP会话监控

如果TCP连接关闭或者闲置超时,会话正常情况下会从状态化表项中删除,利用会话监控计时器调整死亡时间

4、BGP穿越

处理BGP穿越防火墙邻居建立失败问题

5、状态化旁路

针对异步路由,实现状态化旁路

Cisco ASA 三~四层模块化策略框架_三到四层模块化策略_14

举报

相关推荐

0 条评论