网络安全高级应用

发布 2021-04-22 17:20:28 阅读 6552

第一章tcp/ip高级技术。

数据报首部格式中‘首部长度’最短为20字节。

2.与分片有关的字段有三个:标识、标志、分片偏移。

3.标志字段中,第2位是0,表示允许分片;1表示不允许分片。

标志字段中,第3位是0,表示这是最后一个分片,1表示还有后续分片。

报文分两类:差错报文和查询报文。

5. icmp查询报文中类型8表示回送请求,类型0表示回送应答。

6. icmp差错报文中有五种类型:

类型3-终点不可达

**1:host unreachable(主机不可达)

**3:port unreachable(端口不可达)

类型4-源点抑制报文。

类型5-改变路由报文。

类型11-超时报文。

类型12-参数问题。

的mss是最大报文长度,mss=mtu-20(ip首部长度)-20(tcp首部长度)

8. tcp的mss在连接建立阶段确定后,在连接期间保持不变。

mss只存在于syn报文和syn+ack报文中。

的其他机制:流量控制、差错控制、拥塞控制。

协议首部长度是8字节。

第二章:cisco防火墙。

1. cisco asa的常见型号,适合什么规模的网络?

常见型号

5505适应小型网络和5540适应中型企业,5550和5580适用于大型企业。p40页。

2. 配置主机名,域名,特权密码,telnet或ssh密码。

ciscoasa(config)# hostname asa802

asa802(config)# domain-name

asa802(config)# enable password asa802

asa802(config)# passwd cisco

3. asa接口名字和安全级别。

inside默认安全级别为100

outside默认安全级别为0

dmz默认安全级别100,可以配置到inside < dmz < outside

4. asa 5505的接口配置跟其他型号的接口配置有什么区别?

asa 5505不支持在物理接口上直接配置,必须通过vlan虚接口来配置,然后吧接口划分到相应的vlan中。

5. 配置e0/1接口为inside,安全级别100,ip地址为10.1.1.1并激活。

asa802(config)# int e0/1

asa802(config-if)# nameif inside

asa802(config-if)# security-level 100

asa802(config-if)# ip add 10.1.1.1 255.255.255.0

asa802(config-if)# no shutdown

asa802(config-if)# exit

6. 配置5505的vlan1虚接口ip为192.168.0.1,并命名为inside,安全级别100,e0/1口划分到vlan1中。

asa802(config)# int vlan 1

asa802(config-if)# nameif inside

asa802(config-if)# security-level 100

asa802(config-if)# ip add 192.168.0.1 255.255.255.0

asa802(config-if)# no shutdown

asa802(config-if)# exit

asa802(config-if)# int e0/1

asa802(config-if)# switchport access vlan 1

asa802(config-if)# exit

7. 配置默认路由指向外网,下一条为200.0.0.1

asa802(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.1

8. asa查看路由表的命令是?

show route”查看路由表,9. asa远程管理的方式有那三种?

asa支持3种主要的远程管理接入方式:telnet、ssh和asdm。

使用telnet远程管理是不安全的,所以一般禁止从外部接口使用telnet接入。

10. 配置只允许内网192.168.0.1的主机可以telnet asa,超时时间为30分钟。

telnet 192.168.0.1 255.255.255.255 inside

telnet timeout 30

11. 配置允许内网192.168.0.0/24的网段和外网的所有网段可以通过ssh登录防火墙,超时时间30分钟,ssh版本2

ciscoasa(config)# hostname asa802

asa802(config)# domain-name

asa802(config)# enable password asa802

asa802(config)# passwd cisco

asa802(config)# crypto key generate rsa modulus 1024

asa802(config)# ssh 192.168.0.0 255.255.255.0 inside

asa802(config)# ssh 0 0 outside

asa802(config)# ssh timeout 30

asa802(config)# ssh version 2

12. 用ssh登录防火墙的默认是用的用户名是?密码是用什么命令配置的密码?默认ssh支持那个版本?

ssh默认的用户名是pix

密码是使用passwd配置远程登录口令。

默认情况下,ssh同时支持版本1和版本2。

13. 查看ssh会话的命令?

show ssh session

14. 在配置ssh是为什么要配置主机名和域名。

在生成rsa密钥对的过程中需要用到主机名和域名。

15. 使用asdm远程管理asa的步骤?配置命令?

a) 启用防火墙https服务器功能。

asa802(config)# http server enable [port]

port配置端口号,默认443端口,允许指定另外的端口。

b) 配置防火墙允许https接入

http 192.168.0.0 255.255.255.0 inside

允许从192.168.0.0/24网段使用https介入。

c) 指定asdm映像的位置

asa802(config)# asdm image disk0:/asdmfile

d) 配置客户端登录使用的用户名和密码

asa802(config)# username user password password privilege 15

privilege设置用户权限0-15,默认15,完全控制权限。0权限最小,只能输入几个show查看命令。

e) 使用https://登录。

配置实例:允许内网192.168.0.0的网段可以通过asdm远程管理asa。

asa802(config)# http server enable

asa802(config)# http 192.168.0.0 255.255.255.0 inside

asa802(config)# asdm image disk0:/

asa802(config)# username benet password cisco privilege 15

使用用登录防火墙。

16. 从高安全级别接口(inside)访问低安全级别接口(outside),一般需要配置什么命令?

动态网络地址转换,nat和global命令。

17. 从低安全级别接口(outside)访问高安全级别接口(inside),需要配置什么命令?

通常是配置静态nat和acl。

18. 配置nat,允许内网所有的主机可以使用outside口的ip地址进行pat转换。

asa802(config)# nat-control

asa802(config)# nat (inside) 1 0 0

asa802(config)# global (outside) 1 int

19. 在dmz接口配置一个全局地址池192.168.

1.100-192.168.

100.110,允许内网所有的主机可以通过这个地址池做动态nat,访问dmz中的服务器。

asa802(config)# global (dmz) 1 192.168.1.100-192.168.1.110

20. 配置acl,禁止insede区域内192.168.0.1-192.168.1.15访问outside

asa802(config)#access-list in_to_out deny ip 192.168.0.0 255.255.255.240 any

asa802(config)# access-list in_to_out permit ip any any

asa802(config)# access-group in_to_out in int inside

21. 配置静态nat,把dmz区域web主机192.168.

1.1映射成公网ip200.1.

1.253,并使外网的out主机能够访问dmz的web站点。

asa802(config)# static (dmz,outside) 200.1.1.253 192.168.1.1

asa802(config)#access-list out_to_dmz permit tcp any host 200.1.1.253 eq www

asa802(config)# access-group out_to_dmz in int outside

22. 动态nat和静态nat的区别:

动态nat和pat都是单向的,只允许内网访问外网。

静态nat是双向的,既可以让外网访问内网,也可以让内网访问外网。

23. nat 0的作用?

可以指定不需要被转换的流量,一般应用在vpn的配置中。

24. asa上查看地址转换表的命令是?

在asa上使用命令“show xlate”查看地址转换条目。

25. 默认情况下,icmp报文是否可以穿越asa?

网络安全高级应用 总结

一 tcp ip高级技术。ip数据包结构 首部 固定20b 和数据 可变,最大40b 1.标识 数据包id,标明数据包是否属于同一数据流。标志 是否允许分片 3个比特位 第二位为0,表示允许分片 为1表示不允许分片 第三位为0,表示没有分片 为1表示还有分片。分片偏移 表示重组的先后顺序。协议 pr...

ASA网络安全高级应用

gns3 模拟asa防火墙配置 详细教程 设计目标 信息安全,使用asa防火墙,网络拓扑如下图。要求内部局域网用户共享nat上网,dns使用isp的dns服务器,web服务器放在dmz区域。拓扑图如下 区域web服务器上安装windows2003系统 虚拟网卡为vnet1 启用iis6.0搭建。区域...

高级网络安全作业

高级安全网络课程设计。题目 校园网络安全规划设计 院 系软件学院。专业年级 软件工程 2010级。姓名刘佳。学号101530446 目录。第一章概述 2 1.1 高校校园网络安全建设意义 2 第二章高校校园网络特点分析 2 第三章网络安全解决方案 3 3.1 高校校园网络安全建设原则 3 3.2部署...