Botnet Traffic Filter简介

1.僵死网络流量过滤特性是一个基于名誉的机制，用于阻止流量源自于或者去往已知的感染主机。
2.僵死网络流量过滤比较每一个连接中的源和目的IP地址。

• 动态SensorBase数据库，被Cisco动态更新。
• 静态数据库，需要手动更新数据库。
  3.当流量匹配上数据库中的某一条目，一个syslog信息会被记录，流量可以采取丢弃行为。

Botnet Traffic Filter与动态数据库

1.动态数据库中包含那些有问题的主机名，这个数据库从CiscoSensorBase数据库中下载，并被Cisco持续更新。
2.对那些有问题主机的DNS解析回应，被缓存在ASA本地的DNS反向查询缓存中。
3.当一个新的连接初始化时，源和目的IP地址被用来和DNS反向缓存中的条目进行比较。

Botnet TrafficFilter与静态数据库

1.可以手动的添加有问题的和好的主机名和IP地址到静态数据库。
2.有问题的主机名被添加到"blacklist"，好的主机名被添加到"whitelist
3.CisCOASA为所有静态添加的名字，执行一次DNS查询，并且把查询结果，映射到ASA本地DNS主机缓存。
4.当一个新的连接被初始化，源目IP地址被与DNS主机缓存中的条目进行比较。

查看license ：show version

dns配置
ASA# sh run dns
dns domain-lookup DMZ
DNS server-group DefaultDNS
name-server 192.168.1.100
domain-name ASA.mingjiao.com

 dynamic-filter updater-client enable
 dynamic-filter enable interface Inside
 dynamic-filter drop blacklist interface Inside
 dynamic-filter ambiguous-is-black
 dynamic-filter whitelist
   name good.mingjiao.org
 dynamic-filter blacklist
   name bad.mingjiao.org
 dynamic-filter use-database
 policy-map global_policy
   class inspection_default
     no inspect dns preset_dns_map
     inspect dns preset_dns_map dynamic-filter-snoop

NAT

思科：static NAT、dynamic NAT、PNAT、Identity NAT（结合VPN使用）
其他：source NAT 、destination NAT

Dynamic NAT介绍

DynamicInsideNAT（动态内部装换）：为一个本地IP地址到一个全局IP地址创建一个临时的转换
1.lnsideNAT转换一个位于高安全级别接口的本地地址到一个位于低安全级别接口的全局地址
2.当内部地址发起第一个连接时，在转换表项里动态创建转换槽位
3.转换项一直存在，直到配置的闲置时间到期。

Dynamic PAT介绍

DynamicInsidePAT（动态内部PAT）：创建一个临时的动态转换，把一个本地地址和端口转换到一个全局地址和全局端口。
1.为每个4层连接创建转换槽位（最多65535-1023个槽位）
2.当4层连接结束时，转换槽位消失（闲置超时时间比较短，默认30秒）
3.同样可以转换主机到ASA出接口的露额
可选项：round-robin 循环使用地址；extended 同一个C访问同一个S的不同服务，在防火墙NAT之后使用同一个端口，将S段的IP和端口加入判断条件； flat include-reserve 可以使用0~1023 端口；block-allocation 端口块

Static NAT介绍

StaticNAT（静态NAT）：创建一个本地地址到全局地址的永久转换。
1.静态转换在转换表中是持久稳固和永远存在的（转换槽位一直存在而且无法清除)
2.通常为需要对外提供服务的内部服务器做转换（inbound连通）
ASA version 8.3 以前 放行转换后的地址
ASA version 8.3 以后 放行转换前的地址

Static PAT介绍

为私有IP地址和端口到公有IP地址和端口做一个固定的转换
多种服务使用一个单一的全局地址
仅仅只支持inbound连接
持把ASA的接口地址作为全局地址使用

Static NAT DNS Rewrite介绍

有DNS重写功能的StaticNAT，能够根据转换规则，转换DNS回应内部的地址（A)记录字段。
1.在ASA上必须激活DNSinspection

Router(config)#ip dns server (1)
Router(config)#ip domain-lookup (2)
Router(config)#ip name-server 202.96.64.68 (3)
Router(config)#ip host [url]www.51jifen.com[/url] 10.1.1.1 (4)
clear host * 清理本地dns 缓存
内部网络主机的DNS配置成10.1.1.254
命令解释：
（1）：启用路由器DNS服务功能
（2）：启用DNS的外部查询功能，一般来说，该功能路由器缺省启用
（3）：指定所查找的上级DNS服务器地址（根据本地情况确定）
（4）：手工配置DNS本地条目
object network DNS-SNAT # 目的接口要和DNS服务器一致
host 10.1.1.101
nat（inside,dmz） static 202.100.1.10 dns

Dynamic Identity NAT介绍

1.DynamicIdentityNAT转换本地地址到相同的地址，到低安全级别的接口。
2.Outbound流量会在转换表中产生一个临时的转换槽位
Static Identity NAT介绍
1.本地地址转换到一个相同的地址在指定的接口对上。
2.一个永久的转换槽位是被直接创建的。
inside to outside
先nat 在匹配 感兴趣流 所以采用identity nat
NAT 3个段落
第一部分 twice nat
第二部分 object nat
第三步 after auto nat
auto nat 排序自动
manul nat 手动排序
第一部分：TwiceNAT遵循先匹配先服务原则Twice可以随意调整顺序
第二部分：ObjectNAT静态转换优先于动态转换如果类型相同，按照如下方式排序1.地址范围2.IP地址数字大小4.Object名字排序
第三部分：TwiceNATSection 3遵循先匹配先服务原则

Twice NAT介绍

TwiceNAT类似于以前的PolicyNAT，能够根据流量的源和目的实现不同的转换适用于在特殊环境下的NAT运用。针对VPN流量做TwiceNAT，旁路掉原有上网用的NAT转换是一个经典的运用。