版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
-.z.網(wǎng)絡(luò)平安是一個(gè)系統(tǒng)的概念,有效的平安策略或方案的制定,是網(wǎng)絡(luò)信息平安的首要目標(biāo)。網(wǎng)絡(luò)平安技術(shù)主要有,認(rèn)證授權(quán)、數(shù)據(jù)加密、訪問(wèn)控制、平安審計(jì)等。而提供平安網(wǎng)關(guān)效勞的類(lèi)型有:地址轉(zhuǎn)換、包過(guò)濾、應(yīng)用代理、訪問(wèn)控制和DoS防御。本文主要介紹地址轉(zhuǎn)換和訪問(wèn)控制兩種平安網(wǎng)關(guān)效勞,利用cisco路由器對(duì)ISDN撥號(hào)上網(wǎng)做平安規(guī)則設(shè)置。試驗(yàn)環(huán)境是一臺(tái)有firewall版本IOS的cisco2621路由器、一臺(tái)交換機(jī)組成的局域網(wǎng)利用ISDN撥號(hào)上網(wǎng)。一、地址轉(zhuǎn)換我們知道,Internet技術(shù)是基于IP協(xié)議的技術(shù),所有的信息通信都是通過(guò)IP包來(lái)實(shí)現(xiàn)的,每一個(gè)設(shè)備需要進(jìn)展通信都必須有一個(gè)唯一的IP地址。因此,當(dāng)一個(gè)網(wǎng)絡(luò)需要接入Internet的時(shí)候,需要在Internet上進(jìn)展通信的設(shè)備就必須有一個(gè)在全球Internet網(wǎng)絡(luò)上唯一的地址。當(dāng)一個(gè)網(wǎng)絡(luò)需要接入Internet上使用時(shí),網(wǎng)絡(luò)中的每一臺(tái)設(shè)備都有一個(gè)Internet地址,這在實(shí)行各種Internet應(yīng)用上當(dāng)然是最理想不過(guò)的。但是,這樣也導(dǎo)致每一個(gè)設(shè)備都暴露在網(wǎng)絡(luò)上,任何人都可以對(duì)這些設(shè)備攻擊,同時(shí)由于Internet目前采用的IPV4協(xié)議在網(wǎng)絡(luò)開(kāi)展到現(xiàn)在,所剩下的可用的IP地址已經(jīng)不多了,網(wǎng)絡(luò)中的每一臺(tái)設(shè)備都需要一個(gè)IP地址,這幾乎是不可能的事情。采用端口地址轉(zhuǎn)換,管理員只需要設(shè)定一個(gè)可以用作端口地址轉(zhuǎn)換的公有Internet地址,用戶(hù)的訪問(wèn)將會(huì)映射到IP池中IP的一個(gè)端口上去,這使每個(gè)合法InternetIP可以映射六萬(wàn)多臺(tái)部網(wǎng)主機(jī)。從而隱藏部網(wǎng)路地址信息,使外界無(wú)法直接訪問(wèn)部網(wǎng)絡(luò)設(shè)備。Cisco路由器提供了幾種NAT轉(zhuǎn)換的功能:1、部地址與出口地址的一一對(duì)應(yīng)缺點(diǎn):在出口地址資源稀少的情況下只能使較少主機(jī)連到internet。2、部地址分享出口地址路由器利用出口地址和端口號(hào)以及外部主機(jī)地址和端口號(hào)作為接口。其中部地址的端口號(hào)為隨機(jī)產(chǎn)生的大于1024的,而外部主機(jī)端口號(hào)為公認(rèn)的標(biāo)準(zhǔn)端口號(hào)。這樣可以用同一個(gè)出口地址來(lái)分配不同的端口號(hào)連接任意數(shù)量的部主機(jī)到外網(wǎng)。具體配置:由于實(shí)驗(yàn)用的是ISDN撥號(hào)上網(wǎng),在internet上只能隨機(jī)獲得出口地址,所以NAT轉(zhuǎn)換的地址池設(shè)置為BRI口上撥號(hào)所獲得的地址。interfaceFastEthernet0/0
ipaddress00
ipnatinsidetheinterfaceconnectedtoinsideworld
!
interfaceBRI0/0
ipaddressnegotiated
ipnatoutsidetheinterfaceconnectedtooutsidenetwork
encapsulationppp
noipsplit-horizon
dialerstring163
dialerload-threshold150inbound
dialer-group1
isdnswitch-typebasic-net3
ipnatinsidesourcelist1interfaceBRI0/0overload
access-list1permit55
3、部地址和外部地址出現(xiàn)交疊當(dāng)部和外部用同一個(gè)網(wǎng)絡(luò)段地址時(shí),在地址沒(méi)有重復(fù)的情況下,可以同時(shí)對(duì)外接口進(jìn)展NAT轉(zhuǎn)換使之可以正常通訊。4、用一個(gè)出口地址映射部多臺(tái)主機(jī)應(yīng)用于internet上的大型有多臺(tái)主機(jī)對(duì)應(yīng)同一個(gè)系統(tǒng)的同一個(gè)出口地址??梢杂胹hipnattranslation和debugipnat命令來(lái)檢查NAT的狀態(tài)。二、基于上下文的訪問(wèn)控制〔Conte*t-basedaccesscontrol--CBAC〕CISCO路由器的access-list只能檢查網(wǎng)絡(luò)層或者傳輸層的數(shù)據(jù)包,而CBAC能夠智能過(guò)濾基于應(yīng)用層的〔如FTP連接信息〕TCP和UDP的session;CBAC能夠在firewallaccess-list翻開(kāi)一個(gè)臨時(shí)的通道給起源于部網(wǎng)絡(luò)向外的連接,同時(shí)檢查外兩個(gè)方向的sessions。1、工作原理比方當(dāng)CBAC配置于連到internet的外部接口上,一個(gè)從部發(fā)出的TCP數(shù)據(jù)包〔telnet會(huì)話〕經(jīng)過(guò)該接口連出,同時(shí)CBAC的配置中已經(jīng)包括了tcpinspection,將會(huì)經(jīng)過(guò)以下幾步:〔1〕數(shù)據(jù)包到達(dá)防火墻的外部接口〔設(shè)為s0〕;〔2〕數(shù)據(jù)包由該接口outboundaccess-list檢查是否允許通過(guò)〔不通過(guò)的數(shù)據(jù)包在此被丟棄,不用經(jīng)過(guò)以下步驟〕;〔3〕通過(guò)accesslist檢查的數(shù)據(jù)包由CBAC檢查來(lái)決定和記錄包連接狀態(tài)信息,這個(gè)信息被記錄于一個(gè)新產(chǎn)生的狀態(tài)列表中為下一個(gè)連接提供快速通道;〔4〕如果CBAC沒(méi)有定義對(duì)telnet應(yīng)用的檢查,數(shù)據(jù)包可以直接從該接口送出;〔5〕基于第三步所獲得的狀態(tài)信息,CBAC在s0的inboundaccesslist中插入一個(gè)臨時(shí)創(chuàng)立的accesslist入口,這個(gè)臨時(shí)通道的定義是為了讓從外部回來(lái)的數(shù)據(jù)包能夠進(jìn)入;〔6〕數(shù)據(jù)包從s0送出;〔7〕接下來(lái)一個(gè)外部的inbound數(shù)據(jù)包到達(dá)s0,這個(gè)數(shù)據(jù)包是先前送出的telnet會(huì)話連接的一局部,經(jīng)過(guò)s0口的accesslist檢查,然后從第五步建立的臨時(shí)通道進(jìn)入;〔8〕被允許進(jìn)入的數(shù)據(jù)包經(jīng)過(guò)CBAC的檢查,同時(shí)連接狀態(tài)列表根據(jù)需要更新,基于更新的狀態(tài)信息,inboundaccesslist臨時(shí)通道也進(jìn)展修改只允許當(dāng)前合法連接的數(shù)據(jù)包進(jìn)入;〔9〕所有屬于當(dāng)前連接的進(jìn)出s0口數(shù)據(jù)包都被檢查,用以更新?tīng)顟B(tài)列表和按需修改臨時(shí)通道的accesslist,同時(shí)數(shù)據(jù)包被允許通過(guò)s0口;〔10〕當(dāng)前連接終止或超時(shí),連接狀態(tài)列表入口被刪除,同時(shí),臨時(shí)翻開(kāi)的accesslist入口也被刪除。需要注意的是:對(duì)于配置到s0口outboundipaccesslist,accesslist必須允許所有需要的應(yīng)用通過(guò),包括希望被CBAC檢查的應(yīng)用;但是inboundipaccesslist必須制止所有需要CBAC檢查的應(yīng)用,當(dāng)CBAC被出去的數(shù)據(jù)包觸發(fā)后,會(huì)在inboundaccesslist中臨時(shí)開(kāi)放一個(gè)通道給合法的、正在傳送的數(shù)據(jù)進(jìn)入。2、CBAC可提供如下效勞〔1〕狀態(tài)包過(guò)濾:對(duì)企業(yè)部網(wǎng)絡(luò)、企業(yè)和合作伙伴互連以及企業(yè)連接internet提供完備的平安性和強(qiáng)制政策?!?〕Dos檢測(cè)和抵御:CBAC通過(guò)檢查數(shù)據(jù)報(bào)頭、丟棄可疑數(shù)據(jù)包來(lái)預(yù)防和保護(hù)路由器受到攻擊?!?〕實(shí)時(shí)報(bào)警和跟蹤:可配置基于應(yīng)用層的連接,跟蹤經(jīng)過(guò)防火墻的數(shù)據(jù)包,提供詳細(xì)過(guò)程信息并報(bào)告可疑行為?!?〕無(wú)縫兼容性:整和防火墻和其它c(diǎn)iscoIOS軟件于一體;優(yōu)化廣域網(wǎng)利用率;提供強(qiáng)大的、可升級(jí)的路由選擇etc?!?〕支持VPN:利用封裝了防火墻版本的ciscoIos軟件和Qos特性來(lái)保證在公共網(wǎng)絡(luò)上傳輸數(shù)據(jù)的平安性,同時(shí)節(jié)省費(fèi)用。〔6〕可升級(jí)配置:適用于大局部路由器平臺(tái),cisco帶防火墻版本的IOS可升級(jí)來(lái)滿(mǎn)足網(wǎng)絡(luò)帶寬和性能的需要。3、CBAC受到的限制〔1〕僅適用于IP數(shù)據(jù)流:只有TCP和UDP包被檢測(cè),其它如ICMP等不能被CBAC檢測(cè),只能通過(guò)根本的accesslists過(guò)濾?!?〕如果我們?cè)谂渲肅BAC時(shí)重新更改accesslists,要注意:如果accesslists制止TFTP數(shù)據(jù)流進(jìn)入一個(gè)接口,我們將不能通過(guò)那個(gè)接口從網(wǎng)絡(luò)啟動(dòng)路由器〔netboot〕?!?〕CBAC忽略ICMPunreachable信息?!?〕當(dāng)CBAC檢查FTP傳輸時(shí),它只允許目的端口為1024—65535圍的數(shù)據(jù)通道?!?〕如果FTP客戶(hù)端/效勞器認(rèn)證失敗,CBAC將不會(huì)翻開(kāi)一條數(shù)據(jù)通道。〔6〕IPSec和CBAC的兼容性:如果CBAC和IPSec配置于同一臺(tái)路由器上,只要對(duì)數(shù)據(jù)包的檢查是在部網(wǎng)接口上進(jìn)展的,而數(shù)據(jù)包加密是終止在外部網(wǎng)接口上的,則IPsec和CBAC就能共存在該邊界路由器上。在這種方式下,檢查的是不加密的數(shù)據(jù)流。4、CBAC所需的存和性能有一些參數(shù)會(huì)影響CBAC所需的存和性能:〔1〕CBAC對(duì)每條連接使用600byte的存;〔2〕在檢查數(shù)據(jù)包的過(guò)程中,CBAC使用額外的CPU資源;〔3〕盡管CBAC通過(guò)對(duì)accesslists的高效存儲(chǔ)〔對(duì)accesslist進(jìn)展散列索引,然后評(píng)估該散列〕來(lái)最小化其對(duì)資源的需求,它在accesslist檢查過(guò)程中仍要使用一定的CPU資源。5、配置CBAC
第一步,CBAC用timeout和threshold值來(lái)管理會(huì)話,配置判斷是否在會(huì)話還未完全建立的時(shí)候終止連接。這些參數(shù)全局性地應(yīng)用于所有會(huì)話。具有firewallfeature的ciscorouter12.0以上版本的IOS缺省是起了IPINSPECT抵御DoS進(jìn)攻的。當(dāng)half-open會(huì)話數(shù)量大到一定的程度往往意味著正在有DOS攻擊發(fā)生或*人正在做端口掃描,CBAC既監(jiān)測(cè)half-open會(huì)話總數(shù)也監(jiān)測(cè)會(huì)話企圖建立的速率。以下是缺省配置:Hp*g_1*shipinspectall
Sessionaudittrailisdisabled〔相關(guān)命令是ipinspectaudittrail,是用來(lái)翻開(kāi)自動(dòng)跟蹤審計(jì)功能并將信息傳送到console口,缺省是disabled.〕Sessionalertisenabled
one-minutethresholdsare[400:500]connections〔相關(guān)命令是ipinspectone-minutehigh500和ipinspectone-minutelow400,是將引起或?qū)е侣酚善鏖_(kāi)場(chǎng)或停頓刪除half-open會(huì)話的新增未建立會(huì)話的速率,即每分鐘500/400個(gè)half-open會(huì)話〕ma*-inpletesessionsthresholdsare[400:500]〔相關(guān)命令是ipinspectma*-inpletehigh500,表示將引起路由器開(kāi)場(chǎng)刪除half-open會(huì)話的已經(jīng)存在的half-open會(huì)話數(shù)500個(gè);ipinspectma*-inpletelow400表示將導(dǎo)致路由器開(kāi)場(chǎng)停頓刪除half-open會(huì)話的已經(jīng)存在的half-open會(huì)話數(shù)〕ma*-inpletetcpconnectionsperhostis50.Block-time0minute.〔相關(guān)命令:ipinspecttcpma*-inpletehost50block-time0表示將引起路由器開(kāi)場(chǎng)丟棄到同一目的主機(jī)地址的超過(guò)50個(gè)的half-open會(huì)話。如果block-time值為0表示到*個(gè)目的主機(jī)的每條連接請(qǐng)求,CBAC會(huì)刪除到該主機(jī)的最老的已存在的half-open會(huì)話,并讓該SYN包通過(guò);如果block-time值大于0表示CBAC將刪除到該目的主機(jī)的所有已存在的half-open連接,并阻攔所有新的連接請(qǐng)求直到block-time值超時(shí)〕。tcpsynwait-timeis30sec〔ipinspecttcpsynwait-time30:表示路由器在阻斷會(huì)話前等待TCP會(huì)話到達(dá)連接建立狀態(tài)的時(shí)間〕tcpfinwait-timeis5sec〔ipinspecttcpfinwait-time5:表示防火墻檢測(cè)到一個(gè)FIN標(biāo)志后仍繼續(xù)管理TCP會(huì)話的時(shí)間長(zhǎng)度〕tcpidle-timeis3600sec〔ipinspecttcpidle-time3600:在沒(méi)有TCP連接后仍繼續(xù)管理TCP會(huì)話的時(shí)間長(zhǎng)度〕udpidle-timeis30sec〔ipinspectudpidle-time30:在UDP會(huì)話停頓后仍繼續(xù)管理UDP會(huì)話信息的時(shí)間長(zhǎng)度〕dns-timeoutis5sec〔ipinspectdns-timeout5:DNS名字查詢(xún)停頓后仍繼續(xù)被管理的時(shí)間〕設(shè)置timeout值可以通過(guò)丟棄超過(guò)時(shí)限的會(huì)話來(lái)有效阻止DoS攻擊釋放系統(tǒng)資源,設(shè)置threshold值可以通過(guò)限制half-open會(huì)話的數(shù)量來(lái)阻止DoS攻擊。CBAC提供三種threshold值來(lái)抵御DOS攻擊:1、最大half-open的TCP或UDP會(huì)話的數(shù)量。2、基于時(shí)間的half-open會(huì)話數(shù)量。3、每個(gè)host可以翻開(kāi)的TCPhalf-open會(huì)話的數(shù)量。對(duì)于超過(guò)threshold值的連接,CBAC會(huì)初始化舊的half-open連接,釋放資源承受新的要求同步的數(shù)據(jù)包。第二步:配置accesslist
access-list101permiticmpanyanyecho
access-list101permiticmpanyanyecho-reply
access-list101permiticmpanyanyunreachable
access-list101permiticmpanyanytime-e*ceeded
access-list101permiticmpanyanypacket-too-big
access-list101permiticmpanyanytraceroute(以上命令允許ping包通過(guò),主要用來(lái)排錯(cuò),如果沒(méi)有必要上述命令可以不做)
access-list101permitanyanyeqsmtp〔允許在效勞器上的平安驗(yàn)證〕access-list101denyipanyanylog〔CBAC要求制止其他所有進(jìn)入的ip包〕第三步:根據(jù)實(shí)際環(huán)境定義一個(gè)檢查規(guī)則。ipinspectnameCBACfragmentma*imum256timeout1(此命令12.1以后的版本出現(xiàn),防止分段攻擊)
ipinspectnameCBACsmtp
ipinspectnameCBACftp
ipinspectnameCBAC
ipinspectnameCBACtcp(進(jìn)入的數(shù)據(jù)包必須與先前流出的數(shù)據(jù)包有一樣的源/目的地址和端口號(hào)〔源和目的對(duì)調(diào)〕,否則就被丟棄)
ipinspectnameCBACudptimeout5(如果配置了timeout值,則應(yīng)答數(shù)據(jù)包是在最后的UDP請(qǐng)求包被送出后的預(yù)定時(shí)間圍收到的,就被允許通過(guò)防火墻返回)
第四步:把檢查規(guī)則定義到一個(gè)接口上。interfaceBRI0/0
ipaddressnegotiated
ipaccess-group101in
ipnatoutside
ipinspectCBACout
做完以上配置后,實(shí)際運(yùn)行中路由器顯示的log如下:04:20:27:%FW-6-SESS_AUDIT_TRAIL:sessioninitiator(:1426)sent656bytes--responder(56:80)sent307
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024至2030年中國(guó)手推式移動(dòng)電站數(shù)據(jù)監(jiān)測(cè)研究報(bào)告
- 2024至2030年中國(guó)彩色涂層鋼卷行業(yè)投資前景及策略咨詢(xún)研究報(bào)告
- 2024至2030年中國(guó)庭木戶(hù)行業(yè)投資前景及策略咨詢(xún)研究報(bào)告
- 盆景學(xué)知識(shí)如何做好一盆盆景
- 2024至2030年中國(guó)卸瓶臺(tái)數(shù)據(jù)監(jiān)測(cè)研究報(bào)告
- 2024至2030年中國(guó)冶金控制系統(tǒng)行業(yè)投資前景及策略咨詢(xún)研究報(bào)告
- 2024至2030年中國(guó)交流耐電壓測(cè)試儀數(shù)據(jù)監(jiān)測(cè)研究報(bào)告
- 2024年山東?。椙f、菏澤、臨沂、聊城)中考語(yǔ)文試題含解析
- 2024年中國(guó)顆粒白土市場(chǎng)調(diào)查研究報(bào)告
- 2024年中國(guó)膠印水性光油市場(chǎng)調(diào)查研究報(bào)告
- 《超市水果陳列標(biāo)準(zhǔn)》
- 2023年02月江西省九江市八里湖新區(qū)公開(kāi)招考50名城市社區(qū)工作者(專(zhuān)職網(wǎng)格員)參考題庫(kù)+答案詳解
- 施美美的《繪畫(huà)之道》與摩爾詩(shī)歌新突破
- 七度空間消費(fèi)者研究總報(bào)告(Y-1012)
- 醫(yī)學(xué)英語(yǔ)翻譯題匯總
- 外研上冊(cè)(一起)六年級(jí)知識(shí)匯總
- 解析人體的奧秘智慧樹(shù)知到答案章節(jié)測(cè)試2023年浙江中醫(yī)藥大學(xué)
- 湘西名人-賀龍綜述
- 劍橋國(guó)際少兒英語(yǔ)Level 3 1 Family matters 課件(共16張PPT)
- S7200西門(mén)子手冊(cè)資料
- 《2019版預(yù)防和治療壓力性損傷快速參考指南》簡(jiǎn)要分享
評(píng)論
0/150
提交評(píng)論