思科ASA防火墙8.2版本的组播(不含PIM)介绍

ASA8.2版本组播支持stub组播(即PIX上原有的类似igmp代理的组播)以及PIM组播(真正的组播选路),但是二者不能同时配置,即一台ASA要么处于stub网络的igmp组播代理模式,要么处于pim功能模式(作为一个组播网络的节点)。本文仅介绍思科ASA8.2的stub multicast功能,不介绍pim功能。
1、全局使能组播开关
multicast-routing

2、配置静态组播表项
mroute src_ip src_mask {input_if_name | rpf_neighbor} [distance]
mroute src_ip src_mask input_if_name [dense output_if_name] [distance]
这两条命令都是配置静态组播表项的命令,区别在于第一个命令是为pim模式配置,第二条命令是为stub组播配置。本文不介绍pim模式,所以忽略第一条命令。 Continue reading

思科ASA防火墙VPDN拨号配置命令整理 (ASA版本8.2,包括PPPoE/L2TP)

本文是Adreaman根据思科ASA8.2配置文档手册中的L2TP和PPPoE功能介绍整理出来的,介绍思科ASA(软件版本8.2)防火墙中PPPoE/L2TP这两种VPDN特性的配置步骤。可与本博客之前介绍的《思科PIX防火墙VPDN拨号配置命令整理》对比查看。思科ASA防火墙支持作为PPPoE客户端拨号,支持作为L2TP服务器接受拨入,并且,仅支持L2TP over IPsec方式拨入,不支持纯L2TP方式拨入。ASA思科文档中未介绍PPTP,并且命令行中也去掉了PPTP的部分,应该已经取消了对于PPTP的支持。

注:本文并非个人真实配置步骤的记录,而是思科配置手册的分析和注释,旨在帮助我们理解一个整体的配置思路。 Continue reading

思科ASA系统MPF框架介绍(之二)

接上文?

  • 三、应用/Service(启用策略服务)

3.1定义应用服务
命令:service-policy policymap_name
视图:pmap-c视图
说明: 为本match匹配的流量启用policymap_name指定的策略。

3.2启动应用服务
命令:service-policy policymap_name? global | interface intf
视图:全局视图
说明: 为指定的接口启用policymap_name指定的策略。global表示为所有的接口启用该policy。

3.3默认策略介绍

默认策略,初始化配置下show service-policy可以看到系统的默认MPF策略: Continue reading

思科ASA系统MPF框架介绍(之一)

MPF(Modular Policy Framework, 模块式策略框架)是思科ASA7.0版本引入的一套“对报文按规则分类并针对各分类灵活的应用不同策略”的机制。它由三部分组成,分类(class)、策略(policy)和应用(service),其中分类是将报文分类的机制,定义各种灵活的规则将报文划分为不同的“流”;策略是对“流”采取的“动作”;应用(service)是将策略在可指定的位置启用起来。思科ASA7.0版本之后的各种filter过滤功能和Inspect(即fixup)功能开始切换到这一框架之中实现并且功能上得到很大的强化和丰富(旧版本的fixup和filter过滤命令依然存在,以向后兼容)。Adreaman尝试通过本文对这一框架机制进行概要地基础性分析和总结。 Continue reading

思科ASA防火墙filter命令配置与功能介绍

思科的filter过滤可以分为内容过滤和URL地址过滤两个大的方面。

内容过滤包括ActiveX和JavaApplet的过滤,功能是阻止用户浏览器获取到HTML标准的网页中的ActiveX控件或JavaApplet小程序,因为这些控件可能会在浏览器客户端运行而带来不可预知的风险。

先来了解一下HTMl中包含ActiveX和JavaApplet等对象的标准,只有知道他的标准格式,才能对其进行完美的过滤。 Continue reading

一个简单的思科ASA防火墙LDAP认证的实例

?思科的ASA防火墙的AAA认证支持RADIUS、TACAS以及LDAP认证,大家对于前两种认证接触的比较多,但是LDAP认证的相关资料就比较少了。最近在研究防火墙认证这方面的特性开发,所以adreaman我就特别架起了一个最简单的LDAP实验拓扑,供参考学习,也为更加深入的研究打下基础。

实验拓扑:

linux pc —————ASA——————http服务器
?????????????????????????????????????|
?????????????????????????????????????|
?????????????????????????????????????|———-LDAP认证服务器(windows 2003)
????????????????????????
ASA与linux pc连接的接口为outside口,安全级别为0;ASA与http服务器连接的接口为dmz口,安全级别为80;ASA与LDAP认证服务器连接的接口为inside口,安全级别为100.

我们的实验是:令外网那台linux pc的web浏览器发出http浏览请求,ASA在为其建立HTTP连接时,先向内网的LDAP服务器的认证,通过认证后linux pc即可浏览dmz网络的http服务器上的网页内容。 Continue reading