第十章 安全 一、认识安全威胁 安全威胁有:应用层攻击、Autorooters、后门程序、拒绝服务(DOS)和分布式拒绝服务(DDOS)攻击、TCP SYN泛洪攻击、“死亡PING”攻击、Stacheldraht攻击、IP欺骗、中间人攻击、网络侦察、包嗅探、强暴攻击、端口重定向攻击、特洛伊木马和病毒攻击、信任利用攻击等等。 二、Cisco IOS防火墙 实现的功能有:IOS防火墙状态检测引擎、入侵检测、防火墙语音穿透、ICMP检测、认证代理、目标URL跌幅及防火墙配置、拒绝服务(DOS)检测和预防、动态端口映射、JAVA小应用程序阻碍。 三、基本和高级流量过滤 基于策略的多接口支持:允许通过IP地址和安全策略决定的接口来控制用户访问。 网络地址转换:对外隐藏内网,增加安全性 基于时间的访问列表:根据一天中的精确时间以及一周中的特定一天决定安全策略。 对等路由认证:保证路由从真实、可信的源地址得到可靠的路由信息。 四、访问列表简介 访问列表本质上是一系列对包进行分类的条件。它的实现原则是:实现安全策略时过滤不希望通过的包。这样只允许某些主机访问因特网上的WWW资源,而限制其它主机使用。 访问列表的工作原理:如果满足给定的条件,则执行给定的操作,如果指定的条件不满足,不做任何操作,继续测试下一下语句。其是对包进行比较、分类、然后根据条件实施操作的包过滤器。 访问列表进行比较时的原则:按顺序比较访问列表的每一行;直到找到匹配的一行;在每个访问列表的最后是一行隐含“DENY(拒绝)”语句------这意味着如果数据包与访问列表中的所有行都不匹配,将丢弃。 访问列表的类型:标准访问列表[使用IP数据包的源IP地址作为条件测试,它基本上是允许或拒绝整个协议组,并不区分IP流量的类型]、扩展访问列表[测试源IP地址和目的IP地址、网络层报头中的协议段,以及位于传输层报头中的端口号]和命名访问列表[它可以是标准的,也可以是扩展的]。 访问列表应用:在一个接口的输入方向或输出方向使用不同的访问列表。分别称为入口访问列表和出口访问列表。 入口访问列表:应用到从接口输入的包,也就是包在末被路由到输出接口之前要经过访问列表处理。 出口访问列表:应用到从接口输出的包。也就是包在进入该接口的输出队列之前经过访问列表处理。 通用访问列表配置指南: 1、每个接口、每个协议或每个方向只可以分配一个访问列表 2、组织好访问列表,要将列特殊的测试放在访问列表的最前面 3、任何时候访问列表添加新条目时,将把新条目旋转到列表的末尾。建议以文本编辑器编辑列表 4、不能从访问列表中删除一行,如果在修改则删除整个访问列表后,在重新建立。便命名访问列表除外。 5、除非在访问列表末尾有permit any命令,否则所有和列表的测试条件都不符合的数据包将被丢弃。每个列表应当至少有一个允许语句,否则将会拒绝所有流量。 6、先创建访问列表,然后将列表应用到一个接口 7、访问列表设计为过滤通过路由器的流量,但不过滤路由器产生的流量。 8、将IP标准的访问列表尽可能放置在靠近目的地址的位置。 9、将IP扩展的访问列表尽可能放置在靠近源地址的位置。 访问列表可降低的安全威胁有: 1、IP地址欺骗,对内或对外; 2、拒绝服务(DOS)TCP SYN攻击,阻塞外部攻击。 3、dos tcp syn 攻击,使用TCP截取。 4、dos smurf攻击 5、过滤ICMP信息,对内和对外 6、过滤traceroute 从因特网到企业网中配置ACL时减轻安全问题的规则 1、拒绝任何来自内部网络的地址 2、拒绝任何本地主机地址(127.0.0.0/8) 3、拒绝任何保留的专用地址; 4、拒绝任何IP组播地址范围(224.0.0.0/24)之中的地址。 五、标准访问列表。 标准的IP访问列表通过使用IP包中的源IP地址过滤网络流量。可以使用的访问列表号为1~99或1300~1999. 通配符和访问列表一起用来指定一台主机、一个网络或几个网络内的某个范围。要理解通配符,就是先了解块的大小,它常指地址范围。有效的块大小为64、32、16、8、4等。 通配符和主机或网络地址一起使用来告诉路由器要过滤的有效地址范围。 例:172.16.30.5 0.0.0.0 这是4个0代表每个八位位组地址,无论何时出来零,都表示着地址中的八位位组必须精确匹配。使用255可指定一个八位位组可以是任何值。[172.16.30.0 0.0.0.255]. Corp(config)#access-list 10 deny 172.16.16.0 0.0.3.255 则块的大小为4,范围为16~19. 注:每个块大小必须从0或一个块大小的倍数开始。Any命令和通配符0.0.0.0 255.255.255.255相同。 INTERNET 路由器 lab(config)#access-list 10 permit any lab(config)#int e1 EO 例: 路由器2 路由器1 人力资源(DB) 会计部 人力部 E0 10.161/27 E1 10.129/27 E0
功能:阻止会计用户与LAB_2相联的人力资 源部服务器, 但允许其他用户访问那个LAN。 Lab_2(config)#access-list 10 deny 192.168.10.128 0.0.0.31 Lab_2(config)#access-list 10 permit any Lab_2(config)#inter e0 Lab_2(config-if)#ip access-group out 控制VTP访问 1、创建一个标准IP访问列表,只允许那些你希望的主机能够远程登录到路由器 2、使用Access-class命令将此访问列表应用到VTY线路。 Lab_1(config)#access-list 50 permit 172.16.10.3 Lab_1(config)#line vty 0 4 Lab_1(config-line)#access-class 10 in 六、扩展访问列表 允许指定源地址和目的地址,以及标识上层协议或应用程序的协议和端口号。 扩展号码为:100~199 2000~2699 例:任何目的地址是172.16.30.2的源IP地址都被拒绝: Corp(config)#access-list 110 deny tcp any host 172.16.30.2 eq 12 log Corp(config)#access-list 110 permary ip any any 例 :拒绝访问位于财务部LAN上服务器172.16.30.5的telnet和FTP服务。销售部和市场部可以访问局域网上所有其它服务和其它主机 Lab_1(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21 Lab_1(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23 Lab_1(config)#access-list 110 permit ip any any Lab_1(config)#int e1 Lab_1(config-if)#ip access-group 110 out 例:阻止远程登录访问E1和E2接口所连接的网络。 R1(config)#access-list 110 deny tcp any 172.16.48.0 0.0.15.255 eq 23 Ri(config)#access-list 110 deny tcp any 172.16.192.0 0.0.63.255 eq 23 R1(config)#access-list 110 permiy ip any any R1(config)#int e1 Ri(config)#ip access-group 110 out Ri(config)#int e2 Ri(config)#ip access-group 110 out 七、高级访问列表 1 、命名访问列表(ACL):其仅仅是创建标准的访问列表和扩展的访问列表的另一种方法。 Lab_1(config)#ip access-list standard blocksales Lab-1(config-std-nacl)#deny 172.16.40.0 0.0.0.255 Lab_1(config-std-nacl)#permit any Lab_1(config)#int e1 Lab_1(config)#ip access-group blocksales out 2、交换机端口访问列表 仅可以在交换机第2层上应用端口上应用端口访问控制列表;且只能把他们应用在接口的入口列表上,并且只能使用命名的列表。 支持的访问列表有:仅对源地址流量过滤的标准IP访问列表;使用源地址和目的地址及可选协议信息和端口的扩展IP访问列表;使用源MAC地址和目的MAC地址以及可选协议信息的MAC扩展访问列表。 交换机检查某个确定接口的所有入口访问列表,并根据流量能否很好的匹配ACL来决定是否允许其通过; 访问控制列表也可以用于虚拟局域网的流量控制,需要把端口访问控制列表应用到一个中继端口。 访问控制列表通过IP访问列表控制IP流量。 例: S1(config)#mac access-list extended todd_max_list S1(config-ext-mac1)#deny any host 000d.29db.4b85 S1(config-ext-mac1)#permit any any S1(config-ext-mac1)#int f0/6 S1(config-if)#mac access-group todd_mac_list in 3、锁和钥匙(动态访问控制列表) 在配置一个动态访问列表之前,需要在路由器上应用一个扩展访问控制列表来阻止经过它的通信流量。 能够通过此封锁的唯一方法是远程登录到路由器并通过认证。 工作原理:用户发起的TELNET连接被丢弃,并且被已经附加到扩展访问列表上的一个单条目动态访问控制列表所取代。这将导致在特定时间内允许流量通过,而且像你猜到的那样,也会有时间限制。 4、自反访问控制列表 这些访问控制列表依据上层会话信息过滤IP包,并且它们通常允许出口流量通过,而对入口流量进行限制。 自反访问控制列表无法使用编号的或是标准的IP访问控制列表或是任何其它协议的访问控制列表来定义,他只能随同其它标准或静态的扩展访问控制列表一起使用。但他们只能用扩展的命名IP访问控制列表定义。 5、基本时间的访问控件列表 Corp(config)#time-range no-http Corp(config-time-range)#periodic weekend 06:00 to 12:00 Corp(config)#time-range tcp-yes Corp(config-time-range)#periodic weekend 06:00 to 12:00 Corp(config)#ip access-list extended time Corp(config-ext-nac1)#deny tcp any eq www time-range no-http Cort(config-ext-nac1)#permit tcp any any time-range tcp-yes Corp(config-ext-nac1)#ip access-group time in 6、注释(remark) R2(config)#access-list 110 remark permit bob from sales only to finance R2(config)#access-list 110 permit ip host 172.16.10.1 172.16.20.0 0.0.0.255 R2(config)#access-list 110 deny ip 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255 R2(config)#ip access-list extended no_telnet R2(config-ext-nac1)#remark deny all of sales from telnetting to marketing R2(config-ext-nac1)#deny tcp 172.16.30.0 0.0.0.255 172.16.40.0 0.0.0.255 eq 23 R2(config-ext-nac1)#permit ip any any 7、基于上下文的访问列表 CBAC:就是审查任何以及所有试图通过防火墙的流量,这样它就可以找出并控制TCP和UDP会话状态信息。 实现方法:仅需要在当前流量的机同流向上配置IP inspect 列表。 结合Cisco防火墙配置的路由器处理流量应该遵循以下原则: A、如果内部ACL通过,路由器将把所有的内部包发送到Cisco防火墙 B、被允许的流量满足防火墙IP检查步骤,将把允许的连接状态信息添加到状态表。 C、流量通过IP检查过程,接着创建动态ACL条目并且把它放入外部ACL中,这样,返回流量在以过路由器时将被允许通过。 八、SHOW命令 Show access-list //显示在路由器上配置的所有访问列表及参数。它不显示那些接口设置了访问列表 Show access-list 110 //只显示列表号为110的参数。不显示那些接口应用了此列表。 Show ip access-list //只显示路由器上配置的IP访问列表。 Show ip interface //显示那些接口设置了访问列表 Show running-config //显示访问列表和哪些接口设置了访问列表 Show mac access-group //显示所有应用在第2层接口或指定的2层接口(仅在第2层交换机使用的接口)的MAC访问列表。 |
|