思科網(wǎng)絡(luò)設(shè)備安全_第1頁
思科網(wǎng)絡(luò)設(shè)備安全_第2頁
思科網(wǎng)絡(luò)設(shè)備安全_第3頁
思科網(wǎng)絡(luò)設(shè)備安全_第4頁
思科網(wǎng)絡(luò)設(shè)備安全_第5頁
已閱讀5頁,還剩21頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

本文檔描述了如何增強(qiáng)網(wǎng)絡(luò)中路由器的安全性,常見的使用方法和相應(yīng)的配置命令和配置例子。11.1 網(wǎng)絡(luò)安全11.1.1 關(guān)閉不必要的服務(wù)關(guān)閉所有路由器或交換機(jī)上的不必要的服務(wù),如Finger、Bootp、Http等;Command:Router(config)#no ip finger#關(guān)閉finger服務(wù)Router(config)# no ip bootp server#關(guān)閉bootp服務(wù)Router(config)# no ip http server#關(guān)閉http服務(wù)Example:Router(config)#no ip fingerRouter(config)# no ip bootp serverRouter(config)# no ip http server11.1.2 設(shè)置加密特權(quán)密碼使用加密的特權(quán)密碼,注意密碼的選擇:n 不要使用登錄名,不管以何種形式(如原樣或顛倒、大寫和重復(fù)等)n 不要用名字的第一個、中間一個或最后一個字(不管是現(xiàn)用名還是曾用名)n 不要用最親近的家人的名字(包括配偶、子女、父母和寵物)n 不要用其他任何容易得到的關(guān)于你的信息n 不要使用純數(shù)字或完全同一個字母組成的口令n 不要使用在英文字典中的單詞n 不要使用短于6位的口令n 不要將口令告訴任何人n 不要將口令電子郵件給任何人n 如果可能,應(yīng)該使用大小寫混合的字母n 使用包括非字母字符的口令n 使用容易記的口令,這樣就不必將它寫下來n 使用不用看鍵盤就可以很快鍵出的口令Command:Router(config)#enable secret #設(shè)置加密的特權(quán)密碼Example:Router(config)#enable secret $!ainf0:#設(shè)置加密的特權(quán)密碼為$!ainf0:11.1.3 打開密碼標(biāo)記Command:Router(config)#service password-encryption#加密密碼,原先使用明文顯示的密碼將會以密文方式出現(xiàn) Example:Router(config)#service password-encryption#加密明文密碼Router#show running-configline vty 0 4 password cisco logging synchronous login! Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#service password-encryption Router(config)#ZRouter# show running-configline vty 0 4 password 7 01100F175804 login11.1.4 設(shè)置NTP server為了保證全網(wǎng)網(wǎng)絡(luò)設(shè)備時(shí)鐘的同步,必須在網(wǎng)絡(luò)設(shè)備上配置NTP。Command:Router(config)# ntp server #設(shè)置NTP,為時(shí)鐘服務(wù)器的IP地址Router(config)#ntp update-calendar#將NTP取得的時(shí)鐘更新本地的日歷Example:Router(config)# ntp server Router(config)#ntp update-calenda#設(shè)置NTP時(shí)鐘服務(wù)器IP地址為,路由器將使用NTP得到的時(shí)鐘作為本地時(shí)鐘,同時(shí)更新本地的日歷。11.1.5 配置日志在所有的路由器或交換機(jī)上配置相應(yīng)的日志選項(xiàng)。Command:Router(config)# logging buffered #將日志存于內(nèi)存中,存放日志的內(nèi)存大小由指定,單位為byte。Router(config)# logging #將日志發(fā)送到Syslog server上,Syslog server由指定。需要預(yù)先配置Syslog serverExample:Router(config)# logging buffered 1024000#在內(nèi)存中使用1M的空間存放日志Router(config)# logging #將日志發(fā)送到IP地址為的Syslog server上11.1.6 設(shè)置LOG和DEBUG的時(shí)間標(biāo)記為了方便排錯和日志管理,需要將日志的DEBUG的信息做上時(shí)間標(biāo)志。使用以下命令設(shè)置時(shí)間標(biāo)志。Command:Router(config)#service timestamps debug datetime msec localtime#使用本地時(shí)間(精確到毫秒)標(biāo)記DEBUG信息Router(config)#service timestamps log datetime msec localtime#使用本地時(shí)間(精確到毫秒)標(biāo)記日志信息Example:Router(config)#service timestamps debug datetime msec localtimeRouter(config)#service timestamps log datetime msec localtime11.1.7 配置Console、AUX和VTY登錄控制登錄一臺路由器可以通過Console端口、AUX端口和VTY遠(yuǎn)程方式,因此對于這三種登錄方式的控制直接影響網(wǎng)絡(luò)設(shè)備的安全性。在三種登錄方式下需要設(shè)置認(rèn)證、和超時(shí)選項(xiàng)。建議認(rèn)證使用本地用戶名加密碼的方式增加安全性。Command:Router(config-line)#login local#設(shè)置登錄時(shí)采用本地的用戶數(shù)據(jù)Router(config-line)#exec-timeout #設(shè)置超時(shí)時(shí)間,表示分,表示秒,超時(shí)時(shí)間為兩者之和Example:Router(config)#line con 0Router(config-line)#exec-timeout 120 0Router(config-line)# login localRouter(config-line)#line aux 0Router(config-line)#exec-timeout 120 0Router(config-line)#login localRouter(config-line)#line vty 0 4Router(config-line)#exec-timeout 120 0Router(config-line)#login local11.1.8 限制遠(yuǎn)程登錄的范圍缺省情況下,從任何地方都可以登錄網(wǎng)絡(luò)設(shè)備。為了增加網(wǎng)絡(luò)設(shè)備的安全性,需要對遠(yuǎn)程登錄的范圍進(jìn)行限制。通常使用訪問控制列表(access-list)限制登錄主機(jī)的源地址,只有具有符合條件的主機(jī)能夠登錄到該網(wǎng)絡(luò)設(shè)備上。配置分為兩步:1 定義訪問控制列表(access-list)2 應(yīng)用訪問控制列表(access-list)Command:Router(config)#access-list access-list-number deny | permit source source-wildcard log#設(shè)置標(biāo)準(zhǔn)的訪問控制列表,其中access-list-number為1-99Router(config)#access-list access-list-number dynamic dynamic-name timeout minutes deny | permit protocol source source-wildcard destination destination-wildcard precedence precedence tos tos log#設(shè)置擴(kuò)展的訪問控制列表,其中access-list-number為100-199Router(config-line)#access-class access-list-number in | out#將訪問控制列表應(yīng)用在相應(yīng)的VTY中Example:Router(config)# access-list 10 permit 55Router(config)#line vty 0 4Router(config-line)# access-class 10 in#設(shè)置只有IP地址在255范圍的主機(jī)才能遠(yuǎn)程登錄該路由器。11.1.9 配置SNMPCommand:router(config)#snmp-server community string view view-name ro | rw number#設(shè)置SNMP只讀或讀寫串,number為Access-list號,限制可以通過SNMP訪問該網(wǎng)絡(luò)設(shè)備的地址Example:router(config)#snmp-server community crnetaia!nf0 RW 10router(config)#snmp-server community bjcrnet RO 10router(config)#access-list 10 permit 5 router(config)#access-list 10 permit 9 #設(shè)置snmp只讀和讀寫口令,并且只讓5和9兩臺主機(jī)可以通過snmp采集路由器數(shù)據(jù)11.1.10 配置特權(quán)等級缺省情況下,Cisco路由器有兩種控制模式:用戶模式和特權(quán)模式。用戶模式只有Show的權(quán)限和其他一些基本命令;特權(quán)模式擁有所有的權(quán)限,包括修改、刪除配置。在實(shí)際情況下,如果給一個管理人員分配用戶模式權(quán)限,可能不能滿足實(shí)際操作需求,但是分配給特權(quán)模式則權(quán)限太大,容易發(fā)生誤操作或密碼泄漏。使用特權(quán)等級,可以定制多個等級特權(quán)模式,每一個模式擁有的命令可以按需定制。Command:Router(config)# enable secret level level encryption-type password#設(shè)置想應(yīng)級別的特權(quán)密碼,level指定特權(quán)級別:0-15Router(config)#username username privilege level password password#設(shè)置管理人員的登錄用戶名、密碼和相應(yīng)的特權(quán)等級Router(config)#privilege mode level level command#設(shè)置相應(yīng)特權(quán)等級下的能夠使用的命令,注意:一旦一條命令被賦予一個特權(quán)等級,比該特權(quán)等級低的其他特權(quán)等級均不能使用該命令。Example:Router(config)#enable secret level 5 csico5Router(config)#enable secret level 10 cisco10#設(shè)置5級和10級的特權(quán)密碼Router(config)#username user5 privilege 10 password password5Router(config)#username user10 privilege 10 password password10#設(shè)置登錄名為user5的用戶,其特權(quán)等級為5、密碼為password5#設(shè)置登錄名為user10的用戶,其特權(quán)等級為10、密碼為password10Router(config)#privilege exec level 5 show ip routeRouter(config)#privilege exec level 5 show ipRouter(config)#privilege exec level 5 showRouter(config)#privilege exec level 10 debug ppp chapRouter(config)#privilege exec level 10 debug ppp errorRouter(config)#privilege exec level 10 debug ppp negotiationRouter(config)#privilege exec level 10 debug pppRouter(config)#privilege exec level 10 debugRouter(config)#privilege exec level 10 clear ip route *Router(config)#privilege exec level 10 clear ip routeRouter(config)#privilege exec level 10 clear ipRouter(config)#privilege exec level 10 clear#設(shè)置5級和10級特權(quán)等級下能夠使用的命令11.2 路由安全11.2.1 路由協(xié)議的安全在OSPF配置中不是必須要和對端路有器建立臨接關(guān)系的端口,不把端口放在OSPF的network廣播。在廣播網(wǎng)段最好使用OSPF的端口認(rèn)證防止其它非法的路由器獲得路由表。Router(config)#ip ospf authentication-key passwordBGP在作EBGP Peer時(shí)如有可能,可以采用BGP的鄰居認(rèn)證。Router(router-config)#neighbor ip-address | peer-group-name password string11.2.2 過濾私有地址路由CRNET二期骨干網(wǎng)均采用合法的IP地址。為防止私有IP進(jìn)入CRNET骨干網(wǎng),將在CRNET的各個出口/入口過濾私有地址。因?yàn)镃RNET的用戶路由均由BGP承載,故過濾私有地址路由的過濾將在EBGP中做入口限制。Router(router-config)#neighbor ip-address | peer-group-name route-map map-name inaccess-list 10 permit 55access-list 10 permit 55access-list 10 permit 55route-map route-map deny 10 match ip address 10route-map route-map permit 2011.3 主機(jī)安全CRNET二期將利用一期利舊的兩臺PIX為主機(jī)(DNS Server、Mail Server、認(rèn)證服務(wù)器、計(jì)費(fèi)服務(wù)器等)提供安全保證。防火墻是一種用于保護(hù)特別敏感區(qū)域的有效工具,通過它可以實(shí)現(xiàn)多種復(fù)雜的安全策略,對可疑的數(shù)據(jù)和請求進(jìn)行審核和過濾,從而保證內(nèi)部網(wǎng)絡(luò)的安全。另外由于防火墻本身需要對數(shù)據(jù)包進(jìn)行深層次的檢查和處理,因此在一些數(shù)據(jù)流量特別大的地方不太適用,通常的用法是用來保護(hù)諸如計(jì)費(fèi)等特別敏感的主機(jī)和應(yīng)用。11.3.1 PIX的工作原理PIX防火墻要求有一個路由器連接到外部網(wǎng)絡(luò),如下圖所示。PIX有兩個ETHERNET接口,一個用于連接內(nèi)部局域網(wǎng),另一個用于連接外部路由器。外部接口有一組外部地址,使用他們來與外部網(wǎng)絡(luò)通信。內(nèi)部網(wǎng)絡(luò)則配置有一個適合內(nèi)部網(wǎng)絡(luò)號方案的IP地址。PIX的主要工作是在內(nèi)部計(jì)算機(jī)需要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí),完成內(nèi)部和外部地址之間的映射。 配置好PIX防火墻后,從外部世界看來,內(nèi)部計(jì)算機(jī)好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主機(jī)傳送信息包需要用到MAC地址。為了使內(nèi)部主機(jī)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上看起來都好象是連接在外部接口上的,PIX運(yùn)行了代理ARP,代理ARP給外部網(wǎng)絡(luò)層IP地址指定數(shù)據(jù)鏈路MAC地址,這就使得內(nèi)部計(jì)算機(jī)看起來像是在數(shù)據(jù)鏈路層協(xié)議的外部接口上似的。大多數(shù)情況下,與外部網(wǎng)絡(luò)的通信是從內(nèi)部網(wǎng)絡(luò)中發(fā)出的。由于PIX是對信息包進(jìn)行操作,而不是在應(yīng)用過程級(代理服務(wù)器則采用這種方法),PIX既可以跟蹤UDP會話,也可以跟蹤TCP連接。當(dāng)一個計(jì)算機(jī)希望同外部計(jì)算機(jī)進(jìn)行通信時(shí),PIX記錄下內(nèi)部來源地址,然后從外部地址庫分配一個地址,并記錄下所進(jìn)行的轉(zhuǎn)換。這就是人們常說的有界NAT(stateful NAT),這樣,PIX就能記住它在同誰進(jìn)行交談,以及是哪個計(jì)算機(jī)首先發(fā)起的對話。只有已被確認(rèn)的來自外部網(wǎng)絡(luò)的信息包才會運(yùn)行,并進(jìn)入內(nèi)部網(wǎng)絡(luò)。 不過,有時(shí)也需要允許外部計(jì)算機(jī)發(fā)起同指定的內(nèi)部計(jì)算機(jī)的通信。典型的服務(wù)包括電子郵件、WWW服務(wù)、以及FTP服務(wù)。PIX給一個內(nèi)部地址硬編碼一個外部地址,這個地址是不會過期的。在這種情況下,用到對目標(biāo)地址和端口號的普通過濾。除非侵入PIX本身,外部用戶仍然是無法了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的。在不了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的情況下,惡意用戶就無法從內(nèi)部主機(jī)向內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊。 PIX另一個關(guān)鍵性的安全特性是對TCP信息包的序列編號進(jìn)行隨機(jī)化處理。由于IP地址電子欺騙的方法早已公布,所以,入侵者已經(jīng)有可能通過這種方法,控制住一個現(xiàn)成的TCP連接,然后向內(nèi)部局域網(wǎng)上的計(jì)算機(jī)發(fā)送它們自己的信息。要想做到這一點(diǎn),入侵者必須猜出正確的序列編號。在通常的TCP/IP中實(shí)現(xiàn)是很容易的,因?yàn)槊看纬跏蓟B接時(shí),大都采用一個相同的編號來啟動會話。而PIX則使用了一種數(shù)學(xué)算法來隨機(jī)化產(chǎn)生序列編號,這實(shí)際上使得攻擊者已經(jīng)不可能猜出連接所使用的序列編號了。 11.3.2 PIX配置配置PIX防火墻是一個比較直接的工作,在提供相同級別的安全服務(wù)情況下,PIX的配置相比設(shè)置代理服務(wù)器要簡單的多。從理論上講,所需做的就是指定一個IP地址和一個用來對外部進(jìn)行訪問的地址庫,一個針對內(nèi)部連接的IP地址和網(wǎng)絡(luò)掩嗎、RIP、超時(shí)以及其他附屬安全信息。下面介紹一個PIX防火墻實(shí)際配置案例,供大家參考。因?yàn)槁酚善鞯呐渲迷诎踩苑矫婧蚉IX防火墻是相輔相成的,所以路由器的配置實(shí)例也一并列出。 1. PIX 防火墻 ip address outside /設(shè)置PIX防火墻的外部地址 ip address inside /設(shè)置PIX防火墻的內(nèi)部地址 global 1 0-54 /設(shè)置一個內(nèi)部計(jì)算機(jī)與INTERNET 上計(jì)算機(jī)進(jìn)行通信時(shí)所需的全局地址池 nat 1 /允許網(wǎng)絡(luò)地址為 的網(wǎng)段地址被PIX翻譯成外部地址 static 1 0 /網(wǎng)管工作站固定使用的外部地址為1 conduit 1 514 udp 55 /允許從RTRA發(fā)送到到 網(wǎng)管工作站的系統(tǒng)日志包通過PIX防火墻 mailhost 0 /允許從外部發(fā)起的對 郵件服務(wù)器的連接(0) telnet 0 /允許網(wǎng)絡(luò)管理員通過 遠(yuǎn)程登錄管理IPX防火墻 syslog facility 20.7 syslog host 0 /在位于網(wǎng)管工作站上的 日志服務(wù)器上記錄所有事件日志 2. 路由器RTRA - RTRA是外部防護(hù)路由器,它必須保護(hù)PIX防火墻免受直接攻擊,保護(hù)FTP/HTTP服務(wù)器,同時(shí)作為一個警報(bào)系統(tǒng),如果有人攻入此路由器,管理可以立即被通知。 no service tcp small-servers /阻止一些對路由器本身的攻擊 logging trap debugging /強(qiáng)制路由器向系統(tǒng)日志服務(wù)器 發(fā)送在此路由器發(fā)生的每一個事件, 包括被存取列表拒絕的包和路由器配置的改變; 這個動作可以作為對系統(tǒng)管理員的早期預(yù)警, 預(yù)示有人在試圖攻擊路由器,或者已經(jīng)攻入路由器, 正在試圖攻擊防火墻 logging 1 /此地址是網(wǎng)管工作站的外部地址, 路由器將記錄所有事件到此 主機(jī)上enable secret xxxxxxxxxxx interface Ethernet 0 ip address interface Serial 0 ip unnumbered ethernet 0 ip access-group 110 in /保護(hù)PIX防火墻和HTTP/FTP 服務(wù)器以及防衛(wèi)欺騙攻擊(見存取列表) access-list 110 deny ip 55 any log / 禁止任何顯示為來源于路由器RTRA 和PIX防火墻之間的信息包,這可以防止欺騙攻擊 access-list 110 deny ip any host log /防止對PIX防火墻外部接口的直接 攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接 PIX防火墻外部接口的事件r access-list 110 permit tcp any 55 established /允許已經(jīng)建立的TCP會話的信息包通過 access-list 110 permit tcp any host eq ftp /允許和FTP/HTTP服務(wù)器的FTP連接 access-list 110 permit tcp any host eq ftp-data /允許和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接 access-list 110 permit tcp any host eq www /允許和FTP/HTTP服務(wù)器的HTTP連接 access-list 110 deny ip any host log /禁止和FTP/HTTP服務(wù)器的別的連接 并記錄到系統(tǒng)日志服務(wù)器任何 企圖連接FTP/HTTP的事件 access-list 110 permit ip any 55 /允許其他預(yù)定在PIX防火墻 和路由器RTRA之間的流量 line vty 0 4 login password xxxxxxxxxx access-class 10 in /限制可以遠(yuǎn)程登錄到此路由器的IP地址 access-list 10 permit ip 1 /只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器, 當(dāng)你想從INTERNET管理此路由器時(shí), 應(yīng)對此存取控制列表進(jìn)行修改 3. 路由器RTRB - RTRB是內(nèi)部網(wǎng)防護(hù)路由器,它是你的防火墻的最后一道防線,是進(jìn)入內(nèi)部網(wǎng)的入口. logging trap debugging logging 0 /記錄此路由器上的所有活動到 網(wǎng)管工作站上的日志服務(wù)器,包括配置的修改 interface Ethernet 0 ip address no ip proxy-arp ip access-group 110 in access-list 110 permit udp host 55 /允許通向網(wǎng)管工作站的系統(tǒng)日志信息 access-list 110 deny ip any host log /禁止所有別的從PIX防火墻發(fā)來的信息包 access-list permit tcp host 55 eq smtp /允許郵件主機(jī)和內(nèi)部郵件服務(wù)器的SMTP郵件連接 access-list deny ip host 55 /禁止別的來源與郵件服務(wù)器的流量 access-list deny ip any 55 /防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙 access-list permit ip 55 55 /允許所有別的來源于PIX防火墻 和路由器RTRB之間的流量 line vty 0 4 login password xxxxxxxxxx access-class 10 in /限制可以遠(yuǎn)程登錄到此路由器上的IP地址 access-list 10 permit ip 0 /只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器,當(dāng)你想從INTERNET管理此路由器時(shí),應(yīng)對此存取控制列表進(jìn)行修改 按以上設(shè)置配置好PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口,也不可能判斷出內(nèi)部任何一臺主機(jī)的IP地址,即使告訴了內(nèi)部主機(jī)的IP地址,要想直接對它們進(jìn)行Ping和連接也是不可能的。 這樣就可以對整個內(nèi)部網(wǎng)進(jìn)行有效的保護(hù),防止外部的非法攻擊。 11.4 攻擊防護(hù)11.4.1 防止DoS攻擊DoS攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在也不斷發(fā)展和升級。CRNET二期骨干網(wǎng)也要考慮到DoS攻擊的存在,并做好相應(yīng)的防范。從某種程度上可以說,DoS攻擊永遠(yuǎn)不會消失而且從技術(shù)上目前沒有非常根本的解決辦法。 DoS技術(shù)嚴(yán)格的說只是一種破壞網(wǎng)絡(luò)服務(wù)的技術(shù)方式,具體的實(shí)現(xiàn)多種多樣,但都有一個共同點(diǎn),就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)失去及時(shí)接受處理外界請求,或無法及時(shí)回應(yīng)外界請求。 對于DoS攻擊,可以采用以下方法防范:1、使用 ip verfy unicast reverse-path 網(wǎng)絡(luò)接口命令 這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包。在路由器的CEF(Cisco ExpressForwarding)表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中,如果沒有該數(shù)據(jù)包源IP地址的路由,路由器將丟棄該數(shù)據(jù)包。例如: 路由器接收到一個源IP地址為的數(shù)據(jù)包,如果CEF路由表中沒有為IP地址提供任何路由(即反向數(shù)據(jù)包傳輸時(shí)所需的路由),則路由器會丟棄它。 單一地址反向傳輸路徑轉(zhuǎn)發(fā)(Unicast Reverse Path Forwarding)在ISP(局端)實(shí)現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。這能夠保護(hù)網(wǎng)絡(luò)和客戶免受來自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。使用Unicast RPF需要打開路由器的CEF swithing或CEF distributed switching選項(xiàng)。不需要將輸入接口配置為CEF交換(switching)。只要該路由器打開了CEF功能,所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其它交換(switching)模式。RPF(反向傳輸路徑轉(zhuǎn)發(fā))屬于在一個網(wǎng)絡(luò)接口或子接口上激活的輸入端功能,處理路由器接收的數(shù)據(jù)包。 在路由器上打開CEF功能是非常重要的,因?yàn)镽PF必須依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。2、使用訪問控制列表(ACL)過濾RFC 1918中列出的所有地址參考以下例子:interface xyip access-group 101 inaccess-list 101 deny ip 55 anyaccess-list 101 deny ip 55 anyaccess-list 101 deny ip 55 anyaccess-list 101 permit ip any any3、參照RFC 2267,使用訪問控制列表(ACL)過濾進(jìn)出報(bào)文參考以下例子: ISP中心 - ISP端邊界路由器 - 客戶端邊界路由器 - 客戶端網(wǎng)絡(luò) ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信,而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng) 絡(luò)過濾的通信。以下是ISP端邊界路由器的訪問控制列表(ACL)例子: access-list 190 permit ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any access-list 190 deny ip any any log interface 內(nèi)部網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口號 ip access-group 190 in 以下是客 戶端邊界路由器的ACL例子: access-list 187 deny ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any access-list 187 permit ip any any access-list 188 permit ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any access-list 188 deny ip any any interface 外部網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口號 ip access-group 187 in ip access-group 188 out如果打開了CEF功能,通過使用單一地址反向路徑轉(zhuǎn)發(fā)(Unicast RPF),能夠充分地縮短訪問控制列表(ACL)的長度以提高路由器性能。為了支持Unicast RPF,只需在路由器完全打開CEF;打開這個功能的網(wǎng)絡(luò)接口并不需要是CEF交換接口。4、使用CAR(Control Access Rate)限制ICMP數(shù)據(jù)包流量速率參考以下例子:interface xyrate-limit output access-group 2020 3000000 512000 786000 conform-actiontransmit exceed-action dropaccess-list 2020 permit icmp any any echo-reply5、設(shè)置SYN數(shù)據(jù)包流量速率 interface intrate-limit output access-group 153 45000000 100000 100000 conform-actiontransmit exceed-action droprate-limit output access-group 152 1000000 100000 100000 conform-actiontransmit exceed-action dropaccess-list 152 permit tcp any host eq wwwaccess-list 153 permit tcp any host eq www established在實(shí)現(xiàn)應(yīng)用中需要進(jìn)行必要的修改,替換: 45000000為最大連接帶寬 1000000為SYN flood流量速率的30%到50%之間的數(shù)值。 burst normal(正常突變)和 burst max(最大突變)兩個速率為正確的數(shù)值。注意,如果突變速率設(shè)置超過30%,可能會丟失許多合法的SYN數(shù)據(jù)包。使用show interfaces rate-limit命令查看該網(wǎng)絡(luò)接口的正常和過度速率,能夠幫助確定合適的突變速率。這個SYN速率限制數(shù)值設(shè)置標(biāo)準(zhǔn)是保證正常通信的基礎(chǔ)上盡可能地小。警告:一般推薦在網(wǎng)絡(luò)正常工作時(shí)測量SYN數(shù)據(jù)包流量速率,以此基準(zhǔn)數(shù)值加以調(diào)整。必須在進(jìn)行測量時(shí)確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)較大誤差。另外,建議考慮在可能成為SYN攻擊的主機(jī)上安裝IP Filter等IP過濾工具包。6、搜集證據(jù)并聯(lián)系網(wǎng)絡(luò)安全部門或機(jī)構(gòu)如果可能,捕獲攻擊數(shù)據(jù)包用于分析。建議使用SUN工作站或Linux等高速計(jì)算機(jī)捕獲數(shù)據(jù)包。常用的數(shù)據(jù)包捕獲工具包括TCPDump和snoop等?;菊Z法為: tcpdump -i interface -s 1500 -w capture_file snoop -d interface -o capture_file -s 1500 本例中假定MTU大小為1500。如果MTU大于1500,則需要修改相應(yīng)參數(shù)。將這些捕獲的數(shù)據(jù)包和日志作為證據(jù)提供給有關(guān)網(wǎng)絡(luò)安全部門或機(jī)構(gòu)。11.4.2 紀(jì)錄、追蹤攻擊對于已知IP地址的攻擊,可以采用access-list過濾,并紀(jì)錄攻擊的情況。參考以下命令:access-list access-list-number deny | permit source source-wildcard log access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard precedence precedence tos tos log通過show access-list可以察看符合該access-list的數(shù)據(jù)包的數(shù)量。第六章 網(wǎng)絡(luò)安全I(xiàn)SP運(yùn)營商今天面臨著有關(guān)安全方面的多種威脅,這些威脅有的可能是隨機(jī)的,也有可能是惡意的,但其后果都一樣的:妨礙用戶及 ISP運(yùn)營商的正常運(yùn)行。從系統(tǒng)角度來看,網(wǎng)絡(luò)安全不是一個簡單的產(chǎn)品問題,網(wǎng)絡(luò)安全首先是個系統(tǒng)問題。互聯(lián)網(wǎng)安全手冊RFC 2196 “Site Security Handbook”是一個非常好的范例。從路由設(shè)備的安全方面考慮,我們建議廣東163省骨干網(wǎng)采取以下措施。6.1廣域網(wǎng)安全策略實(shí)施在廣域網(wǎng)安全實(shí)施方案中,具體建議如下:1、采用了分層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),把骨干網(wǎng)與用戶網(wǎng)絡(luò)隔離開來。2、廣域網(wǎng)路由協(xié)議選用支持多路由接入的協(xié)議。3、各節(jié)點(diǎn)采用雙路由接入,實(shí)現(xiàn)傳輸線路冗余備份。4、對網(wǎng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論