網(wǎng)絡(luò)設(shè)備安全技術(shù)幻燈片

網(wǎng)絡(luò)設(shè)備安全技術(shù)基礎(chǔ)2004年11月主要內(nèi)容CiscoIOS系統(tǒng)安全I(xiàn)P訪問控制技術(shù)第一部分：CiscoIOS系統(tǒng)安全用戶認(rèn)證及交互式訪問

網(wǎng)絡(luò)服務(wù)管理

管理服務(wù)配置

路由安全其它安全措施

Cisco支持的的本地登錄認(rèn)證方式LINE口令認(rèn)證Router(config-line)#

passwordxxxxRouter(config-line)#

login本地用戶口令認(rèn)證Router(config-line)#

loginlocalTacacs認(rèn)證Router(config-line)#

logintacacs雙因素認(rèn)證非AAA認(rèn)證的時(shí)候使用用戶名、密碼的雙因素身份驗(yàn)證方式

usernamebobpassword7045802150C2E

usernamejeansecretcisco

!

linevty04

loginlocal(loginauthenticationdefault|list-name)

采用權(quán)限分級(jí)策略

Router(Config)#usernameBushprivilege10passG00dPa55w0rd

Router(Config)#privilegeEXEClevel10telnet

Router(Config)#privilegeEXEClevel10showipaccess-list

口令管理對(duì)用戶的存儲(chǔ)口令加密

Router（config）#servicepassword-encryption對(duì)特權(quán)模式使用MD5口令加密方式

Router（config）#enablesecret

Router（config）#enablepassword

交互式訪問

控制banner信息

Router(config)#bannerlogincbanner信息文本c

Router(config)#bannerexec“banner信息文本”Router(config)#aaaauthenticationbannercxxxxcRouter(config)#aaaauthenticationpassword-prompttext交互式訪問盡量不要遠(yuǎn)程控制路由器，否則需要對(duì)遠(yuǎn)程訪問的主機(jī)進(jìn)行嚴(yán)格的控制。

限制VTY的ip范圍命令：

Router(config)access-list1permithost35

Router(config)linevty04

Router(config-line)access-class1in控制VTY的空閑時(shí)間:

Router(config-line)exec-timeout030

交互式訪問禁止反向TELNET

Router(config)#linevty04

Router(config-line)#transportinputtelnet

Router(config-line)#transportoutputnone

服務(wù)務(wù)管管理理關(guān)閉閉finger協(xié)議議Finger協(xié)議議能能夠夠透透露露正正在在運(yùn)運(yùn)行行的的系系統(tǒng)統(tǒng)進(jìn)進(jìn)程程、、登登錄錄的的用用戶戶名名、、用用戶戶空空閑閑時(shí)時(shí)間間、、終終端端的的位位置置等等敏敏感感信信息息。。Router(config)#noservicefingerRouter(config)#noipfinger服務(wù)管理理關(guān)閉一些些診斷服服務(wù)端口口(echo、discard、chargen)很多小服服務(wù)如echo、chargen經(jīng)經(jīng)常會(huì)被被利用進(jìn)進(jìn)行拒絕絕服務(wù)攻攻擊。（（type:telnetx.x.x.xchargen）Router(config)#noservicetcp-small-serversRouter(config)#noserviceudp-small-servers服務(wù)管理理非電信連連接的設(shè)設(shè)備關(guān)閉閉CDP協(xié)議部分版本本的IOS存在在漏洞，，其CDP協(xié)議議會(huì)導(dǎo)致致系統(tǒng)拒拒絕服務(wù)務(wù)。在端口上上關(guān)閉cdp協(xié)協(xié)議：Router(config-if)#nocdpenable整個(gè)路由由器上關(guān)關(guān)閉cdp協(xié)議議：Router(config)#nocdprunningAustin1Austin2Austin3Austin4SNMPserverAustin4,whoareyourneighbors?SorrySNMP,Ihavenoknowledgeofthat.CDPrequestsCDPrequests服務(wù)管理理關(guān)閉路由由器的Bootp服務(wù)Router(config)#noipbootpserver禁止從網(wǎng)網(wǎng)絡(luò)啟動(dòng)動(dòng)和自動(dòng)動(dòng)從網(wǎng)絡(luò)絡(luò)下載初初始配置置文件Router(Config)#nobootnetworkRouter(Config)#noserviceconfigAustin1Austin2Austin3Austin4BootprequestAustin1,IneedannewIOSimage.服務(wù)管理理Austin1e0/0e0/1e0/2InternetProxyARPdisallowedProxyARPallowedProxyARPallowedAttackhostAttemptedspoof關(guān)閉路由由器的arpproxy功功能Router(config-if)#noipproxy-arp管理服務(wù)務(wù)配置-SNMPcommunity的明文傳傳輸問題題盡量關(guān)閉閉Snmp服務(wù)務(wù)或設(shè)為為只讀：Router(config)#nosnmp-serverRouter(config)#snmp-servercommunity[key]RORouter(config)#nosnmp-serverenabletrapsRouter(config)#nosnmp-serversystem-shutdownAustin1InternetSNMPdisallowedSNMPattackhostSNMPattackhostSNMPconnectionattemptSNMPconnectionattempt管理服務(wù)務(wù)配置-SNMP限制Snmp管管理范圍圍：Router(config)#access-list1permit[ipnetmask]anyRouter(config)#snmp-servercommunity[key]RO1（1為為access-listnumber）管理服務(wù)務(wù)配置-HTTP為什么最最好關(guān)閉閉Httpserver服務(wù)漏洞問題題用戶口令令明文傳傳輸問題題Router(config)#noiphttpserver對(duì)http訪問問進(jìn)行訪訪問控制制及權(quán)限限管理Router（config）#access-list1permit30Router（config）#iphttpaccess-class1Router（config）#iphttpauthenticationaaa路由安全全路由信息息認(rèn)證防止路由由攻擊鄰接身份份認(rèn)證支持明文文身份認(rèn)認(rèn)證的路路由協(xié)議議：IS-ISOSPFRIP2支持MD5身份份認(rèn)證的的路由協(xié)協(xié)議：OSPFRIP2BGPEIGRP可以配置置密鑰鏈鏈的路由由協(xié)議：：RIP2EIGRPOSPF路由協(xié)協(xié)議的認(rèn)認(rèn)證允許路由由認(rèn)證Router(Config-router)#area100authenticationRouter(Config-router)#area101authenticationmessage-digest啟用明文文認(rèn)證Router(Config-if)#ipospfauthentication-keykey啟用MD5認(rèn)證證Router(Config-if)#ipospfmessage-digest-key1md5routerospfkeyRIP協(xié)協(xié)議的安安全RIP-1不支支持安全認(rèn)證證啟用RIP-2的MD5認(rèn)證Router(Config)#routerrip

Router(Config-router)#version2Router(Config-router)#networkRouter(Config)#interfaceeth0/1

Router(Config-if)#ipripauthenticationmodemd5

Router(Config-if)#ipripanthenticationkey-chainmykeychainname其它方面的路路由問題禁止IP重定定向Router(config-if)#noipredirects禁止IP源路路由Router(Config)#noipsource-route其它方面的路路由問題禁止子網(wǎng)掩碼碼響應(yīng)Router(config-if)#noipmask-replyAustin2e0/0e0/1ICMPmaskrequestto2Austin12NoIPmaskrepliesInternet其它方面的路路由問題Austin2e0/0Hostwithfalsifiedsourceaddresse0/1ICMPechorequeststodirectedbroadcastaddressAustin1TargetsegmentDirectedbroadcastsaredroppedInternet禁止ip直接接廣播轉(zhuǎn)發(fā)以以防范smurf攻擊Router(Config)#noipdirected-broadcast路由器本身保保護(hù)建議啟用SSH，廢棄Telnet及時(shí)的升級(jí)IOS軟件為路由器的配配置文件作安安全備份使用SSH遠(yuǎn)遠(yuǎn)程登錄定義SSHKEY及及其它屬性性cryptokeygeneratersaipsshtime-out60ipsshauthentication-retries2應(yīng)用到具體接接口linevty04LoginlocaltransportinputSSHIOS的升級(jí)和備份份配置文件的備備份建議使用用FTP代替TFTPRouter(Config)#ipftpusernameBushRouter(Config)#ipftppassword4tppa55w0rd

Router#copystartup-configftp:MAC地址綁綁定MAC地址與與IP的綁定定可以實(shí)現(xiàn)：：網(wǎng)絡(luò)的訪問控控制防止非法主機(jī)機(jī)的接入阻止交換網(wǎng)絡(luò)絡(luò)環(huán)境下的網(wǎng)網(wǎng)絡(luò)監(jiān)聽(是否可以通通過在個(gè)人主主機(jī)綁定網(wǎng)關(guān)關(guān)IP地址和和MAC地址址的方式阻止止網(wǎng)絡(luò)監(jiān)聽？？)AAA認(rèn)證CISCOIOS支支持的本地登登錄的aaa認(rèn)證方式：：enableUsestheenablepasswordforauthenticationKrb5UsesKerberos5forauthenticationkrb5-telnetUsesKerberos5TelnetauthenticationprotocolwhenusingTelnettoconnecttotherouter.lineUsesthelinepasswordforauthenticationlocalUsesthelocalusernamedatabaseforauthenticationlocal-caseUsescase-sensitivelocalusernameauthenticationnoneUsesnoauthentication.groupradiusUsesthelistofallRADIUSserversforauthenticationgrouptacacs+UsesthelistofallTACACS+serversforauthenticationAAA認(rèn)證對(duì)路由器的遠(yuǎn)遠(yuǎn)程登錄盡量量使用AAA認(rèn)證方式1、EnablesAAAgloballyRouter(config)#aaanew-model2、CreateslocalauthenticationlistRouter(config)#aaaauthenticationlogin{default|list-name}method1[method2...]3、EnterslineconfigurationmodeRouter(config)#line[aux|console|tty|vty]line-number[ending-line-number]4、AppliestheauthenticationlisttoalineRouter(config-line)#loginauthentication{default|list-name}認(rèn)證方式舉例例定義在VTY端口采用tacacs+和local的認(rèn)證證方式Router(config)#aaanew-modelRouter(config)#aaaauthenticationloginlist-namekrb5-telnetlocalRouter(config-line)#loginauthenticationlist-name啟用特權(quán)級(jí)口口令保護(hù)對(duì)于請(qǐng)求特權(quán)權(quán)EXEC級(jí)級(jí)的用戶，檢檢查用戶ID和口令aaaauthenticationenabledefaultmethod1[method2……]實(shí)驗(yàn)1Internet實(shí)驗(yàn)1情景描述：某某節(jié)點(diǎn)網(wǎng)管的的描述網(wǎng)絡(luò)設(shè)備：12臺(tái)Cisco路由器器，4臺(tái)Juniper；其中4臺(tái)臺(tái)Cisco路由器的IOS版本僅僅為10.0主機(jī)設(shè)備：22臺(tái)Unix，8臺(tái)Windows人員：網(wǎng)絡(luò)組組、主機(jī)組、、監(jiān)控組業(yè)務(wù)需求：通通過帶內(nèi)和帶帶外方式管理理網(wǎng)絡(luò)設(shè)備；；SNMP是是必備的網(wǎng)管管手段管理要求：口口令必須三個(gè)個(gè)月更換，不不準(zhǔn)以明文方方式存放；設(shè)設(shè)備軟件升級(jí)級(jí)需要3周時(shí)時(shí)間。安全投入：僅僅提供人力資資源已有的安全資資源：免費(fèi)的的安全工具：：OpenSSH，F(xiàn)reeRadius安全歷史事件件：03年11月網(wǎng)絡(luò)因因廣播包泛濫濫，網(wǎng)絡(luò)曾一一度癱瘓；最最近，4臺(tái)舊舊版IOS的的路由器性能能不穩(wěn)定，相相互之間TCPEcho和Chargen的的流量較大第二部分：IP訪問控制制ACL概述述標(biāo)準(zhǔn)ACL擴(kuò)展ACL動(dòng)態(tài)ACL基于時(shí)間的的ACLIP會(huì)話層層ACL（（自反）context-basedACL（CBAC）ACL概述述ACL定義義ACL作用用ACL應(yīng)用用范圍ACL優(yōu)點(diǎn)點(diǎn)ACL分類類ACL工作作流程ACL標(biāo)識(shí)識(shí)ACL定義義定義ACL是一一個(gè)有序的語句集，，它通過匹匹配報(bào)文中中信息與訪訪問表參數(shù)數(shù)，來允許通過或拒絕報(bào)文通過某某個(gè)接口。。ACL作用用ACL的作作用其目的就是是實(shí)現(xiàn)一種種訪問策略略，但它還還支持其他他一些功能能，如實(shí)現(xiàn)現(xiàn)流量控制制等.ACL的應(yīng)應(yīng)用范圍路由轉(zhuǎn)發(fā)的的包過濾路由信息接接受的過濾濾再分布路由由的過濾TCP攔截截流量修正的的流量過濾濾流量整形的的流量過濾濾DDR路由由的流量過過濾……關(guān)于ACL依據(jù)一些包包頭信息和和特征位執(zhí)執(zhí)行動(dòng)作：：允許或拒拒絕包通過過其接口每種類型的的ACL工工作方式均均不同，功功能也有差差別，檢查查包的深度度也不一樣樣包過濾會(huì)占占用CPU和內(nèi)存等等資源，所所以會(huì)對(duì)路路由器性能能有影響開啟路由器器的netflow功能會(huì)大大大減輕ACL對(duì)路路由器性能能影響ACL的優(yōu)優(yōu)點(diǎn)成本低，易易于實(shí)現(xiàn)、、功能強(qiáng)大大、應(yīng)用范范圍廣無設(shè)備維護(hù)護(hù)需要在沒有防火火墻的地方方，其重要要性更加突突出。訪問控制列列表類型ACL類型型1、標(biāo)準(zhǔn)ACL2、擴(kuò)展ACL3、動(dòng)態(tài)ACL4、基于時(shí)時(shí)間的ACL5、IP會(huì)會(huì)話層ACL（自反反）6、context-basedACL訪問控制列列表類型無狀態(tài)的報(bào)報(bào)文過濾基于狀態(tài)的的報(bào)文過濾濾無狀態(tài)報(bào)文文過濾將每一個(gè)報(bào)報(bào)文作為一一個(gè)單獨(dú)的的實(shí)體,無無法檢測(cè)出出一個(gè)報(bào)文文是否是某某個(gè)已有的的上層對(duì)話話的一部分分有限的信息息，不能保保證高層協(xié)協(xié)議的安全全標(biāo)準(zhǔn)、擴(kuò)展展等方式的的ACL屬屬于無狀態(tài)態(tài)報(bào)文過濾濾基于狀態(tài)的的報(bào)文過濾濾基于狀態(tài)的的報(bào)文過濾濾能夠識(shí)別別連接會(huì)話話的狀態(tài)，，并能夠基基于會(huì)話狀狀態(tài)建立和和應(yīng)用ACL控制。。會(huì)話正在建建立，從哪哪個(gè)方向建建立會(huì)話建立和和連接的時(shí)時(shí)間、會(huì)話話建立個(gè)數(shù)數(shù)、等待建建立和關(guān)閉閉等單和多通道道網(wǎng)絡(luò)應(yīng)用用的識(shí)別和和建立連接是否為為安全連接接，是否為為安全區(qū)域域發(fā)起的連連接的數(shù)據(jù)據(jù)包CBAC//RACL具備的的特性ACL檢檢查規(guī)則順序匹配，，找到匹配配的第一條條規(guī)則，則則退出。每一個(gè)ACL都會(huì)會(huì)隱含一條條語句““denyall”:access-listxxxdenyipanyany具體的規(guī)則則通常必須須放在前面面增加一條語語句都是添添加到最后后ACL的方方向性Austin1s0/0e0/0e0/1InternetInInInOutOutOutRoutingLogicPermitnoneIPACLBitBucketDenyACL標(biāo)標(biāo)識(shí)識(shí)1、、通通過過數(shù)數(shù)字字標(biāo)標(biāo)識(shí)識(shí)2、、通通過過名名字字標(biāo)標(biāo)識(shí)識(shí)（（只只針針對(duì)對(duì)IP標(biāo)標(biāo)準(zhǔn)準(zhǔn)和和IP擴(kuò)擴(kuò)展展））數(shù)字字訪訪問問表表數(shù)字字訪訪問問表表使使用用數(shù)數(shù)字字來來標(biāo)標(biāo)識(shí)識(shí)ACL不能能刪刪除除訪訪問問表表中中的的指指定定項(xiàng)項(xiàng)ACL的的數(shù)數(shù)量量有有限限制制，，如如下下：：Access-listlist-numberpermit/denysource-addressdestination-addressoption1-99標(biāo)標(biāo)準(zhǔn)準(zhǔn)IP存存取取列列表表101-199擴(kuò)擴(kuò)展展IP存存取取列列表表200-299以以太太網(wǎng)網(wǎng)類類型型代代碼碼700-799以以太太網(wǎng)網(wǎng)地地址址800-899標(biāo)標(biāo)準(zhǔn)準(zhǔn)IPX存存取取列列表表900-999擴(kuò)擴(kuò)展展IPX存存取取列列表表1300-1999標(biāo)標(biāo)準(zhǔn)準(zhǔn)IP存存取取列列表表(序序號(hào)號(hào)擴(kuò)擴(kuò)展展)2000-2699擴(kuò)擴(kuò)展展IP存存取取列列表表(序序號(hào)號(hào)擴(kuò)擴(kuò)展展)………………………………………命名名訪訪問問表表命名名ACL使使用用名名字字來來識(shí)識(shí)別別ACL只支支持持IPACL，，可可以以刪刪除除訪訪問問表表中中指指定定的的表表項(xiàng)項(xiàng)對(duì)ACL的的數(shù)數(shù)量量沒沒有有限限制制使用用你你定定義義的的名名字字代代替替NAME，，如如：：Ipaccess-liststandardtestingpermit55permit55IPaccess-listextendedboringpermittcp55any標(biāo)準(zhǔn)準(zhǔn)IPACL標(biāo)準(zhǔn)準(zhǔn)IP訪訪問問表表只只能能對(duì)對(duì)IP包包的的源源地地址址進(jìn)進(jìn)行行過過濾濾必須須將將標(biāo)標(biāo)準(zhǔn)準(zhǔn)訪訪問問表表應(yīng)應(yīng)用用到到離離目目標(biāo)標(biāo)最最近近的的地地方方標(biāo)準(zhǔn)準(zhǔn)ACL的的應(yīng)應(yīng)用用限制制虛虛擬擬終終端端訪訪問問限制制SNMP協(xié)協(xié)議議過濾濾路路由由協(xié)協(xié)議議標(biāo)準(zhǔn)準(zhǔn)IPACL的的應(yīng)應(yīng)用用配配置置過濾濾路路由由協(xié)協(xié)議議Access-list1permit55Access-list2deny55Access-list2permitanyRouterRIPNetworkRedistributeOSPF1Default-metric3Distribute-list1outOSPF1RouterOSPF1Network55area0RedistributeRIPDefault-metric100Distribute-list2outRIP限制制telnet訪訪問問e0/0e0/s0/0R2AuthenticationserverUserCorporateLAN/16RemoteaccessLAN/24FileserverR2(config)#access-list10permithostlogR2(config)#access-list10permithostlogR2(config)#access-list10denyanylogR2(config)#linevty04R2(config-line)#access-class10inR2(config)#end擴(kuò)展展IPACL功能能比比較較強(qiáng)強(qiáng)大大，，能能夠夠識(shí)識(shí)別別多多種種協(xié)協(xié)議議如如TCP/UDP/IP/ICMP/OSPF/IGMP/EIGRP/IGRP/PIM/AHP/ESP/GRE、、多多種種標(biāo)標(biāo)志志、、ICMP的的消消息息類類型型、、TCP的的少少量量連連接接狀狀態(tài)態(tài)、、IP包包的的服服務(wù)務(wù)分分類類和和優(yōu)優(yōu)先先級(jí)級(jí)別別支持動(dòng)態(tài)/TIME-BASED/反向/CBAC等多種種配合使用應(yīng)該將擴(kuò)展訪訪問表應(yīng)用到到離源主機(jī)最最近的地方擴(kuò)展IPACL允許用戶根據(jù)據(jù)如下內(nèi)容過過濾報(bào)文：源和目的IP地址協(xié)議源和目的端口口記錄到數(shù)據(jù)庫(kù)庫(kù)OPTION選項(xiàng)（各各種協(xié)議不一一樣）1、established2、icmp-type3、precedence4、TOS等等擴(kuò)展ACL基本格格式擴(kuò)展ACL基基本格式:listidentifierprotocoldestinationaddress/portoptionaccess-list101permittcpanygt102455eq20establishedactionsrcaddr/port擴(kuò)展IPACL配置步步驟1、建立IPACL2、應(yīng)用該ACL到某個(gè)個(gè)接口3、定義ACL用于該接接口的方向擴(kuò)展IPACL配置IPAddressSpoofMitigation—Inbounde0/0e0/R2RemoteaccessLAN/24R2(config)#access-list150denyip55anylog

R2(config)#access-list150denyip55anylogR2(config)#access-list150denyip55anylog

R2(config)#access-list150denyip55anylogR2(config)#access-list150denyip55anylog

R2(config)#access-list150deny55anylog

R2(config)#access-list150deny55anylog

R2(config)#access-list150denyiphost55anylog

R2(config)#access-list150permitipany55

R2(config)#interfacee0/0R2(config-if)#ipaccess-group150in

R2(config-if)#exitIPAddressSpoofMitigation—Outbounde0/0e0/R2RemoteaccessLAN/24R2(config)#access-list105permitip55anyR2(config)#access-list105denyipanyanylog

R2(config)#interfacee0/1R2(config-if)#ipaccess-group105in

R2(config-if)#endFilteringICMPMessages—Inbounde0/0e0/R2RemoteaccessLAN/24R2(config)#access-list112denyicmpanyanyechologR2(config)#access-list112denyicmpanyanyredirectlogR2(config)#access-list112denyicmpanyanymask-requestlog

R2(config)#access-list112permiticmpany55R2(config)#interfacee0/0

R2(config-if)#ipaccess-group112in

R2(config-if)#endFilteringICMPMessages—Outbounde0/0e0/R2RemoteaccessLAN/24R2(config)#access-list114permiticmp55anyecho

R2(config)#access-list114permiticmp55anyparameter-problem

R2(config)#access-list114permiticmp55anypacket-too-bigR2(config)#access-list114permiticmp55anysource-quenchR2(config)#access-list114denyicmpanyanylogR2(config)#interfacee0/1

R2(config-if)#ipaccess-group114inR2(config-if)#endDDoSAttackMitigation——TRIN00e0/0e0/R2RemoteaccessLAN/24R2(config)#access-list190denytcpanyanyeq27665logR2(config)#access-list190denyudpanyanyeq31335logR2(config)#access-list190denyudpanyanyeq27444logDDoSAttackMitigation——Stacheldrahte0/0e0/R2RemoteaccessLAN/24R2(config)#access-list190denytcpanyanyeq16660logR2(config)#access-list190denytcpanyanyeq65000log流量控控制流量控控制是是指允允許某某一設(shè)設(shè)備嚴(yán)嚴(yán)格地地限制制流入入或流流出某某一接接口流流量數(shù)數(shù)量的的一種種技術(shù)術(shù)可以對(duì)對(duì)所有有IP流量量配置置CAR或或只對(duì)對(duì)某幾幾類IP流流量使使用CAR流量控控制抵御拒拒絕服服務(wù)攻攻擊：：限制ICMP包包流流量限制TCP-SYN包流流量限制UDP流量量限制特特定用用戶流流量流量控控制配配置步步驟1、定定義ACL或約約束訪訪問率率的訪訪問表表2、在在接口口中使使用rate-limit命命令限限制進(jìn)進(jìn)出該該接口口的某某些流流量速速率如對(duì)所所有IP流流量進(jìn)進(jìn)行約約束，，可以以省略略第一一步流量控控制配配置1、定定義ACL或約約束訪訪問率率的訪訪問表表Access-listrate-limitacl-indexprecedence/mac-addressmaskprec-maskAccess-listacl-indexpermitprotocolsourceIPdestinationIP流量控控制配配置2、在在接口口中使使用rate-limit命命令限限制進(jìn)進(jìn)出該該接口口的某某些流流量速速率定義分分類的的流量量的正正常的的傳輸輸率A、正正常突突發(fā)傳傳輸率率B1、異異常突突發(fā)傳傳輸率率B2,使使用如如下接接口命命令：Rate-limitinput/outputaccess-group[rate-limit]acl-indexAB1B2conform-actionactionexceed-actionactionAcl-index為為存取控控制列表表Action有有transmit、、drop、set-prec-transmit、set––prec-continue、、continue流量控制制配置示示例背景景ISP限限制客戶戶外出的的ICMP及TCP-SYN流量客戶網(wǎng)絡(luò)絡(luò)internet客戶路由由器fe0s0ISP路路由器流量控制制配置示示例實(shí)例分析析ISP路路由器配配置：Interfaces0IpaddressRate-limitoutputacess-grouprate-limit101100000010000001000000conform-actiontransmitexceed-actiondropAccess-list101permiticmpanyanyAccess-list101permittcpanyanysyn實(shí)驗(yàn)2Internet實(shí)驗(yàn)2配置要求求：標(biāo)準(zhǔn)ACL擴(kuò)展ACL流量控制制動(dòng)態(tài)IPACL動(dòng)態(tài)ACL是對(duì)對(duì)傳統(tǒng)ACL的的功能一一種加強(qiáng)強(qiáng)能夠建立立動(dòng)態(tài)訪訪問表項(xiàng)項(xiàng)提供一種種動(dòng)態(tài)訪訪問控制制功能，，能夠針針對(duì)用戶戶ID來來進(jìn)行控控制訪問問特別對(duì)于于有動(dòng)態(tài)態(tài)IP地地址的用用戶優(yōu)點(diǎn)是安安全性更更高，能能對(duì)用戶戶進(jìn)行認(rèn)認(rèn)證動(dòng)態(tài)IPACL工作過過程工作原理理1、用戶戶發(fā)起一一個(gè)telnet連接接到網(wǎng)絡(luò)絡(luò)邊界路路由器2、邊界界路由器器接受連連接并且且認(rèn)證用用戶，認(rèn)認(rèn)證可以以由AAA配合合TACACS/RADIUS來完完成3、用戶戶通過認(rèn)認(rèn)證，邊邊界路由由器就會(huì)會(huì)中斷該該連接，，并且建建立一個(gè)個(gè)動(dòng)態(tài)ACL項(xiàng)項(xiàng)，動(dòng)態(tài)態(tài)ACL項(xiàng)的內(nèi)內(nèi)容可根根據(jù)管理理員配置置4、包通通過該路路由器完完成所需需連接，，連接終終止5、時(shí)間間（空閑閑時(shí)間/絕對(duì)時(shí)時(shí)間）到到，路由由器刪除除該動(dòng)態(tài)態(tài)ACL項(xiàng)動(dòng)態(tài)IPACL的的局限性性無法為不不同用戶戶提供不不同類型型的訪問問路由器必必須啟用用TELNET服務(wù)，，攻擊者者可以通通過網(wǎng)絡(luò)絡(luò)監(jiān)聽竊竊取登錄錄信息動(dòng)態(tài)IPACL應(yīng)用用目的希望遠(yuǎn)程程用戶能能夠存取取網(wǎng)絡(luò)中中的一些些主機(jī)，，并且這這些遠(yuǎn)程程用戶通通過認(rèn)證證，為合合法授權(quán)權(quán)的用戶戶。只希望內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)的部分分合法授授權(quán)用戶戶才能訪訪問外部部網(wǎng)絡(luò)。。動(dòng)態(tài)IPACL對(duì)路路由器性性能沖擊擊1、動(dòng)態(tài)態(tài)ACL的建立立和刪除除需要消消耗CPU的資資源2、如果果有大量量合法用用戶訪問問就會(huì)造造成大量量的ACL的反反復(fù)，這這有可能能嚴(yán)重影影響路由由器的性性能動(dòng)態(tài)IPACL配置置步驟配置AAA（為為了更好好的認(rèn)證證擴(kuò)展性性）配置IP擴(kuò)展ACL項(xiàng)項(xiàng)和動(dòng)態(tài)態(tài)ACL項(xiàng)（先先允許TELNET連連接進(jìn)來來）應(yīng)用ACL到某某一個(gè)接接口配置虛擬擬終端線線路和autocommand配置正常常的telnet動(dòng)態(tài)IPACL配置置1、配置ACL項(xiàng)access-listaccess-list-number[dynamicdynamic-name[timeoutminutes]]{deny|permit}protocalsourcesource-wildcarddestinationdestination-wildcard[precedenceprecedence][tostos][established][log]動(dòng)態(tài)IPACL配配置2、應(yīng)用ACL到某某一個(gè)接口口interfacetypenumberipaccess-groupaccess-list-numberin/out動(dòng)態(tài)IPACL配配置3、配置虛虛擬終端線線路和autocommandlineVTYline-number[ending-line-number]logintacacs/localautocommandaccess-enable[host][timeoutminutes]（Host選項(xiàng)必須須選中，logintacacs不需要要配置autocommand命令））動(dòng)態(tài)IPACL配配置4、配置正正常的telnetlineVTYline-number[ending-line-number]Line-number不不要與autocommand的一致致Loginlocal/tacacsRotary1動(dòng)態(tài)IPACL配配置注意點(diǎn)點(diǎn)1、不要配配置兩個(gè)動(dòng)動(dòng)態(tài)ACL到同一個(gè)個(gè)接口，這這樣后一個(gè)個(gè)不會(huì)達(dá)到到預(yù)期效果果2、不要給給一個(gè)動(dòng)態(tài)態(tài)訪問表分分配與另一一個(gè)訪問表表相同的名名字3、在擴(kuò)展展ACL中中首先要允允許telnet連連接進(jìn)來動(dòng)態(tài)IPACL配配置示例配置背景：：允許外部部撥號(hào)用戶戶能夠訪問問公司內(nèi)部部網(wǎng)絡(luò)usernamenamepasswordpasswordinterfaceethernet0/0ipaddress172.16.x.1ipaccess-group10xinaccess-list10xpermittcpanyhost172.16.x.1eq30x1access-list10xdynamicmytestlisttimeout120permitipanyanyLinevty59Loginlocalautocommandaccess-enablehosttimeout100Rotaryx1動(dòng)態(tài)IPACL配配置示例顯示動(dòng)態(tài)訪訪問列表和和臨時(shí)訪問問列表?xiàng)l目目showaccess-list[access-list-number]刪除動(dòng)態(tài)訪訪問列表Clearaccess-template[access-list-number|name][dynamic-name][source][destination]TIME-BASEDACL功能能夠根據(jù)一一天中的不不同時(shí)間和和根據(jù)一星星期中的不不同天來控控制對(duì)網(wǎng)絡(luò)絡(luò)資源的訪訪問根據(jù)不同時(shí)時(shí)間段，給給予不同的的服務(wù)類型型以不同的的服務(wù)優(yōu)先先級(jí)別能夠提供時(shí)時(shí)間上的訪訪問控制TIME-BASEDACL配置步步驟1、定義時(shí)時(shí)間范圍2、定義擴(kuò)擴(kuò)展IPACL項(xiàng)項(xiàng)3、應(yīng)用ACL到某某一指定接接口TIME-BASEDACL配置1、定義時(shí)時(shí)間范圍Time-rangetime-range-nameabsolute[starttimedate][endtimedate]periodic[days-of-week]hh:mmto[days-of-week]hh:mm分為絕對(duì)時(shí)時(shí)間段和周周期時(shí)間段段(兩者可可以同時(shí)使使用也可以以分開使用用）絕對(duì)時(shí)間為為某年某月月某日時(shí)分分到某年某某月某日時(shí)時(shí)分周期時(shí)間為為如下表示示中的時(shí)分分到時(shí)分：：FridayMondaySaturdayThursdayTuesdayWednesdayDailyWeekdaysweekendTIME-BASEDACL配置2、在擴(kuò)展展IPACL中使使用time-rangeTime-rangeallow-httpAbsolutestart7:001june2003end17:0031dec2003Periodicweekends7:00to17:00Ipaccess-list101permittcpanyanyeq80time-rangeallow-httpTIME-BASEDACL配置3、將擴(kuò)展展IPACL應(yīng)應(yīng)用到接口口上Ints0/0IPaccess-group101outTIME-BASEDACL配置示示例2003年年下半年只只有周末的的下班時(shí)間間才能訪問問INTERNETWEB站點(diǎn)Interfaceserial0IPaccess-group101outTime-rangeallow-httpAbsolutestart7:001jun2003end17:0031dec2003Periodicweekends7:00to17:00IPaccess-list101permittcpanyanyeq80time-rangeallow-http自反（reflexive）ACL基于IPsession的ACL表項(xiàng)總是一個(gè)個(gè)允許表項(xiàng)表項(xiàng)所指定的的協(xié)議與原來來向外報(bào)文的的協(xié)議相同。。新的表項(xiàng)互換換源和目的IP地址新的表項(xiàng)互換換源和目的上上層端口號(hào)表項(xiàng)一直存在在，直到會(huì)話話結(jié)束或超時(shí)時(shí)到期當(dāng)會(huì)話的最后后一個(gè)報(bào)文流流過接口時(shí)，，表項(xiàng)就到期期不能處理多通通道應(yīng)用程序序,如FTP自反ACL與與擴(kuò)展ACL/DACL比較與擴(kuò)展ACL的比較與動(dòng)態(tài)ACL的比較更加準(zhǔn)確的規(guī)規(guī)則匹配，精精確到源和目目的IP地址址及上層端口口支持更多的協(xié)協(xié)議，established只能能用于TCP具有更加彈性性的過濾能力力和更高的安安全性控制手手段自反ACL工工作過程1、內(nèi)部網(wǎng)絡(luò)絡(luò)向外部網(wǎng)絡(luò)絡(luò)建立一個(gè)會(huì)會(huì)話連接請(qǐng)求求2、路由器觸觸發(fā)自反ACL，建立一一個(gè)臨時(shí)的允允許ACL，，該ACL的的源和目的IP及高層端端口剛好與出出去的包相反反3、雙方傳輸輸數(shù)據(jù)4、雙方傳輸輸數(shù)據(jù)完成，，或超時(shí)時(shí)間間到，路由器器清除該自反反ACL自反ACL功功能為擴(kuò)展ACL中的一個(gè)重重要增強(qiáng)功能能可以防止路由由欺騙可以防止一定定的DOS攻攻擊對(duì)于返回的流流量動(dòng)態(tài)建立立允許的ACL本身可以不象象動(dòng)態(tài)列表要要求開放某些些服務(wù)提供更高的安安全性能自反ACL配配置注意點(diǎn)1、擴(kuò)展訪問問表的順序很很重要，如果果順序錯(cuò)誤，，可能造成不不能產(chǎn)生自反反ACL2、自反ACL要應(yīng)用到到適當(dāng)?shù)慕涌诳谏喜艜?huì)正常常工作3、不能夠檢檢測(cè)應(yīng)用層的的信息4、自反訪問問表不能處理理多通道應(yīng)用用程序如FTP自反ACL配配置步驟1、在PERMIT的擴(kuò)擴(kuò)展ACL中中配置自反ACL項(xiàng)2、在另一個(gè)個(gè)擴(kuò)展ACL中嵌入自反反ACL3、應(yīng)用自反反ACL和擴(kuò)擴(kuò)展ACL到到適當(dāng)?shù)慕涌诳?、配置自反反訪問表的全全球超時(shí)時(shí)間間自反ACL配配置1、在PERMIT的擴(kuò)擴(kuò)展ACL中中配置自反ACL項(xiàng)ipaccess-listextendedname1permitprotocolanyanyreflectname[timeoutseconds]自反ACL配配置2、在另一個(gè)個(gè)擴(kuò)展ACL中嵌入自反反ACLipaccess-listextendedname2evaluatename自反ACL配配置3、應(yīng)用自反反ACL和擴(kuò)擴(kuò)展ACL到到適當(dāng)?shù)慕涌诳趇paccess-group擴(kuò)擴(kuò)展nameout/inipaccess-group嵌入自反反namein/out自反ACL配配置4、配置自反反訪問表的全全局超時(shí)時(shí)間間ipreflexive-listtimeoutseconds自反ACL配配置示例背景景允許內(nèi)部用戶戶172.16.x.x訪問10.17.x.x的任何單單通道服務(wù)不允許任何外外部發(fā)起的網(wǎng)網(wǎng)絡(luò)訪問進(jìn)入入172網(wǎng)絡(luò)絡(luò)自反ACL配配置示例ipreflexive-listtimeout1200interfacef0/0ipaddress10.17.x.1ipaccess-groupinboundfiltersinipaccess-groupoutboundfiltersoutipaccess-listextendedoutboundfilterspermitipanyanyreflecttcptrafficxipaccess-listextendedinboundfiltersevaluatetcptrafficxdenyipanyanyCBAC—功功能建立動(dòng)態(tài)擴(kuò)展展ACL項(xiàng)對(duì)自反訪問表表的功能增強(qiáng)強(qiáng)支持多通道應(yīng)應(yīng)用程序的動(dòng)動(dòng)態(tài)訪問控制制能夠基于上層層信息進(jìn)行檢檢測(cè)進(jìn)行智能能過濾操作可以安全處理理大量應(yīng)用CBAC可以以安全處理的的應(yīng)用單、多通道的的TCP、UDPCu-SeemeFTPH.323JavaNetshowUnixr-命命令Realaudio/realvedioRpcSmtpSql*netStreamworksTFTPVDOLiveCBAC的特特征檢查TCP中中的序列號(hào)檢查應(yīng)用層信信息的特定協(xié)協(xié)議多通道ACL支持JAVA阻塞塞拒絕服務(wù)保護(hù)護(hù)和檢測(cè)實(shí)時(shí)警告和審審核跟蹤C(jī)BAC的弱弱點(diǎn)只檢測(cè)TCP和UDP報(bào)報(bào)文以路由器為源源和目的地址址的報(bào)文不檢檢測(cè)不能夠準(zhǔn)確檢檢測(cè)加密報(bào)文文中的信息對(duì)系統(tǒng)性能有有沖擊，每個(gè)個(gè)連接大約使使用600個(gè)個(gè)字節(jié)的存儲(chǔ)儲(chǔ)空間CBAC的工工作過程1、外出的報(bào)報(bào)文到達(dá)路由由器，報(bào)文被被外出的訪問問表檢測(cè)2、CBAC檢測(cè)報(bào)文，，并將該報(bào)文文的信息記錄錄在狀態(tài)表中中，狀態(tài)表中中所記錄的信信息包源和目目的地址，以以及TCP和和UDP端口口號(hào)3、CBAC在訪問表中中為返回的流流量建立臨時(shí)時(shí)的訪問表項(xiàng)項(xiàng)，該訪問表表項(xiàng)將基于所所使用的應(yīng)用用程序而改變變，臨時(shí)表項(xiàng)項(xiàng)將被放在接接受返回流量量的接口上4、返回報(bào)文文到達(dá)路由器器接口，必要要時(shí)CBAC將修改狀態(tài)態(tài)表和向內(nèi)的的訪問表5、當(dāng)連接完完成時(shí)，狀態(tài)態(tài)表和向內(nèi)訪訪問表中的表表項(xiàng)被清除，，對(duì)于TCP，這些表項(xiàng)項(xiàng)將會(huì)在客戶戶和服務(wù)器之之間交換一個(gè)個(gè)正常的FIN后被清除除，對(duì)于UDP，則具有有可以配置的的不活躍超時(shí)時(shí)值。CBAC的應(yīng)應(yīng)用環(huán)境標(biāo)準(zhǔn)TCP和和UDP連接接多媒體應(yīng)用Oracle應(yīng)用支持持CBAC的配配置步驟1、選擇要配配置CBAC的接口2、在接口上上配置訪問表表3、配置超時(shí)時(shí)和門檻值4、定義檢測(cè)測(cè)規(guī)則5、應(yīng)用檢測(cè)測(cè)規(guī)則CBAC的配配置1、選擇要配配置CBAC的接口選擇要配置的的內(nèi)部接口和和外部接口一個(gè)內(nèi)部接口口和一個(gè)外部部接口，則將將CBAC應(yīng)應(yīng)用到外部接接口上如果在兩個(gè)方方向上配置CBAC，則則應(yīng)該首先在在一個(gè)方向上上配置CBAC，再在另另一個(gè)接口上上獨(dú)立配置CBAC的配配置2、配置訪問問表CBAC只能能檢查TCP和UDP報(bào)報(bào)文，訪問表表不能包含非非TCP、UDP協(xié)議的的控制CBAC的配配置3、配置超時(shí)時(shí)和門檻值ipinspecttcpsynwait-timeseconds30ipinspecttcpfinwait-timeseconds5ipinspecttcpidle-timeseconds 3600ipinspectudpidle-timeseconds 30ipinspectdns-timeoutseconds 5ipinspectmax-incompletehighnumber 500ipinspectmax-incompletelownumber 400ipinspectone-minutehighnumber 500ipinspectone-minutelownumber 400ipinspecttcpmax-incompletehostnumberblock-timeminutes0CBAC的配配置4、定義檢測(cè)測(cè)規(guī)則定義RPC檢檢測(cè)規(guī)則格式式ipaccess-list1-99{deny|permit}source[source-wildcard]ipinspectnameinspection-namerpcprogram-numbernumber[wait-timeminutes][timeoutseconds]定義JAVA檢測(cè)規(guī)則格格式ipinspectnameinspection-namehttp[java-listaccess-list][timeoutseconds]CBAC的配配置通用的TCP和UDP檢檢測(cè)規(guī)則定義義格式ipinspectnameinspection-nametcp[timeoutseconds]ipinspectnameinspection-nameudp[timeoutseconds]