思科ASA防火墙8.2版本的组播(不含PIM)介绍

ASA8.2版本组播支持stub组播(即PIX上原有的类似igmp代理的组播)以及PIM组播(真正的组播选路),但是二者不能同时配置,即一台ASA要么处于stub网络的igmp组播代理模式,要么处于pim功能模式(作为一个组播网络的节点)。本文仅介绍思科ASA8.2的stub multicast功能,不介绍pim功能。
1、全局使能组播开关
multicast-routing

2、配置静态组播表项
mroute src_ip src_mask {input_if_name | rpf_neighbor} [distance]
mroute src_ip src_mask input_if_name [dense output_if_name] [distance]
这两条命令都是配置静态组播表项的命令,区别在于第一个命令是为pim模式配置,第二条命令是为stub组播配置。本文不介绍pim模式,所以忽略第一条命令。 Continue reading

思科防火墙(PIX6.3版本)的组播功能和配置介绍

因为防火墙在网络中的位置特殊,处于内网和外网的连接点,即一个stub网络的外部接口点,所以PIX防火墙的组播功能要求比较简单,仅仅是一个类似igmp代理的功能,主要完成两个任务:一是在组播下游接口接收igmp报文并向上游接口转发,二是向这些接口转发组播报文,至于pim协议组播选路等相关功能是没有的。
下面详细介绍各个配置命令:
1、multicast interface interface-name
参数“interface-name”为接口名称。本命令配置名为interface-name的接口支持组播流量并进入该接口的组播配置视图。实际上类似于在该接口上使能了igmp功能,可以接收处理下游主机的igmp报文。 Continue reading

思科ASA系统MPF框架介绍(之二)

接上文?

  • 三、应用/Service(启用策略服务)

3.1定义应用服务
命令:service-policy policymap_name
视图:pmap-c视图
说明: 为本match匹配的流量启用policymap_name指定的策略。

3.2启动应用服务
命令:service-policy policymap_name? global | interface intf
视图:全局视图
说明: 为指定的接口启用policymap_name指定的策略。global表示为所有的接口启用该policy。

3.3默认策略介绍

默认策略,初始化配置下show service-policy可以看到系统的默认MPF策略: Continue reading

思科ASA系统MPF框架介绍(之一)

MPF(Modular Policy Framework, 模块式策略框架)是思科ASA7.0版本引入的一套“对报文按规则分类并针对各分类灵活的应用不同策略”的机制。它由三部分组成,分类(class)、策略(policy)和应用(service),其中分类是将报文分类的机制,定义各种灵活的规则将报文划分为不同的“流”;策略是对“流”采取的“动作”;应用(service)是将策略在可指定的位置启用起来。思科ASA7.0版本之后的各种filter过滤功能和Inspect(即fixup)功能开始切换到这一框架之中实现并且功能上得到很大的强化和丰富(旧版本的fixup和filter过滤命令依然存在,以向后兼容)。Adreaman尝试通过本文对这一框架机制进行概要地基础性分析和总结。 Continue reading

Internet网络浏览的监听、拦截和过滤-浅析GFW原理

我国网络界“和”风劲吹,GFW威力无边,网民不断抱怨网站被“墙”,这固然是制度、利益等政策性原因导致的,我们这里就不多言政治了,仅仅对相关技术问题探究一二。

据我所知,网络浏览的拦截无外乎下列三个方式:IP过滤、内容过滤和DNS劫持。这些过滤的前提就是浏览者“浏览”动作的相关IP报文均能被拦截者截获和分析。这一前提对于ISP来说是天然成立的。

先简单介绍一下一次浏览网页的技术流程。用户在终端上使用浏览器(IE、Firefox等)向网页服务器(例如IIS、Apache等等)发出一个HTTP协议的请求报文(一般是一个HTTP的GET或POST请求),这个请求报文中指明了浏览器想要获取的网页内容,网页服务器收到这个请求后把相应访问结果以HTTP响应的方式发回给浏览器(例如状态码200表示成功,404表示网页不存在,等等类似的一系列状态),而且如果是可正常处理的访问请求,就把用户请求的网页内容(一般就是HTML字符串)发送回用户的浏览器,浏览器收到之后,将HTML字符码解释后以网页的形式呈现在用户面前。当然,这一系列HTTP协议的交互是以TCP连接为通道通信的,TCP连接的建立和维护是这一切的基础和前提。

假如用户终端和网页服务器的TCP连接通道之间存在防火墙等类似的设备,这些设备就可以截获这个TCP连接的建立,乃至其上承载的HTTP交互动作,用户和服务器之间的任何HTTP通信都没有秘密可言,防火墙可以决定整个浏览过程的各个方面。 Continue reading

一个简单的思科ASA防火墙LDAP认证的实例

?思科的ASA防火墙的AAA认证支持RADIUS、TACAS以及LDAP认证,大家对于前两种认证接触的比较多,但是LDAP认证的相关资料就比较少了。最近在研究防火墙认证这方面的特性开发,所以adreaman我就特别架起了一个最简单的LDAP实验拓扑,供参考学习,也为更加深入的研究打下基础。

实验拓扑:

linux pc —————ASA——————http服务器
?????????????????????????????????????|
?????????????????????????????????????|
?????????????????????????????????????|———-LDAP认证服务器(windows 2003)
????????????????????????
ASA与linux pc连接的接口为outside口,安全级别为0;ASA与http服务器连接的接口为dmz口,安全级别为80;ASA与LDAP认证服务器连接的接口为inside口,安全级别为100.

我们的实验是:令外网那台linux pc的web浏览器发出http浏览请求,ASA在为其建立HTTP连接时,先向内网的LDAP服务器的认证,通过认证后linux pc即可浏览dmz网络的http服务器上的网页内容。 Continue reading

开始投入防火墙设备的开发

真是很蹊跷,上篇博客刚刚发布后没两天,公司作出战略转移,路由器开发暂停,集中开发主力主攻防火墙产品线。所以,花两周左右的时间把目前手头上的TCP/IP协议软件开发收尾后,我就将投入防火墙产品的开发了。

确实很突然,这也从一个侧面印证了一个小公司的不稳定性,在这样的公司中,一个开发人员的研发环境也许是坎坷和震荡的。但是,其实我却没什么反对意见,反倒是对防火墙这类产品很感兴趣。对于这种技术领域,我是一个充满好奇的新人,在从网络上搜索一番之后感觉这东西还是很有趣的。很好,而且对我个人视野和能力的拓展也很不错。