第十章 安全

1、使用Cisco路由器和IOS（Cisco互联网络操作系统）阻止对网络的安全威胁，两者结合探测阻止多种类型入侵

2、ACL：访问控制表，配置访问列表是路由器配置关键部分

3、本章介绍：TCP/IP访问列表、2层交换机上的MAC访问列表、用于测试和监视应用访问列表的工具、Cisco IOS防火墙、CLI配置ALC

4、内网路由器：通过屏蔽网络各部分的流量提供附加的安全保障，基于访问列表实现

5、DMZ区可使用全球因特网地址或私有地址，取决于如何配置防火墙

6、包含安全属性的多层交换机，在内网中通过使用VLAN，有时可以取代路由器，提供高性能

7、病毒作为恶意程序，附着在command.com文件之上，是Windows系统的主要解释文件；木马是封装了秘密代码的完整程序，伪装呈现不同表面

8、Cisco的防火墙叫做自适应安全设备（ASA），根据需要功能，添加不同模块，性价比高

9、Cisco IOS运行在大部分因特网主干路由器上，Cisco IOS防火墙为端到端外网、内网、远程访问网络提供安全解决方案

10、需要深入理解ACL工作原理！为本章重点

11、对等路由认证：保证路由从真实可信的源地址得到可靠的路由信息

访问列表：

12、访问列表本质上是一系列对包进行分类的条件，用于控制网络流量

13、最常见：过滤不希望通过的包

14、访问列表语句是对包进行比较、分类、实施操作的包过滤器

15、列表一旦建立，可以应用到任何端口输入或输出方向的流量上

16、规则：数据包和访问列表比较遵循以下规则:

1.按顺序比较ACL每一行，第一行、第二行、……

2.直到找到匹配行，不在进行比较，按该行规定行事

3.每个ACL最后是一行deny语句，意味着比较到最后一行都不匹配则数据包将被丢弃

17、两种类型访问列表：标准的ACL、扩展的ACL

18、标准ACL：只是用IP数据包源IP地址作为筛选条件，意味着只能允许或拒绝整个协议组，而不区分Ip流量类型，如WWW、Telnet、UDP等

19、扩展ACL：可以测试IP包第3、4层报头中的源IP、目的IP、网络层报头中的协议字段、传输层报头中的端口号

20、创建ACL后，只是在路由器中存在，没有被激活

21、应用激活ACL时应指定路由器接口、接口流量方向（来、去），通常需要在一个接口的输入和输出方向使用不同的访问列表

22、入口ACL：数据包在被路由到输出接口之前经过访问列表处理，在入口处拒绝不符合条件的包，在路由之前丢弃

23、出口ACL：在进入路由输出接口的输出队列之前经过访问列表处理

24、每个接口、每个协议、每个方向只可以分派一个访问列表。（因为每个访问列表末尾都隐含有拒绝语句，假如拒绝了第一个表，第二个就无从比对）。例如创建了IP访问列表，每个接口只能有一个入口访问列表和一个出口访问列表

25、组织访问列表：将特殊的测试放在最前

26、推荐使用文本编辑器编辑访问列表，往ACL添加新条目时，将放置到列表末尾

27、在编辑列表之前将访问列表复制到文本编辑器中修改，不能直接修改；而在使用命名访问列表时例外，可以单独删除一行。

28、除非访问列表末尾有permit any命令，否则所有和列表测试条件不符合的数据包将丢弃；如果是空列表，将拒绝所有流量

29、先创建访问列表，再将其应用到一个接口

30、访问列表过滤通过路由器的流量，不过滤路由器本身产生的流量

31、将标准ACL尽可能放置在靠近目的地址的位置。不能将标准的访问列表放置在靠近源主机或源网络的位置，这样只会过滤基于源地址的流量，而造成不能转发任何流量

32、将扩展ACL尽可能放置在靠近源地址的位置。（为了在穿过整个网络前早早被拒绝），节省带宽

使用ACL降低安全威胁

33、降低威胁：IP地址欺骗（对内、外）、Dos攻击、过滤ICMP信息（对内、外）过滤traceroute

34、禁止任何包含内网任意地址的IP包进入专用网络

35、ACL规则，以下任何地址都不允许进入我们的内部网络：任何来自内部网络的地址；任何地址主机地址；任何保留的专用地址；任何IP组播地址范围之中的地址

标准的ACL

36、通过使用源IP地址过滤网络流量

37、可使用1-99、1300-1999列表号告诉路由器创建标准的访问列表

38、Router(config)#access-list 10 deny ?

   A.B.C.D  Address to match

   any      Any source host

   host     A single host address

通配符

39、使用通配符，指定任意范围的主机，告诉路由器过滤的有效地址范围

40、通配符举例：指定一台主机172.16.30.0  0.0.0.0

指定/24子网 172.16.30.0  0.0.0.255

指定子网中的小范围 172.16.8.0  0.0.7.255  （从127.16.8.0开始块大小为8）

41、any命令和通配符 0.0.0.0 255.255.255.255 的意义是一样的

标准ACL示例

42、放置、激活ACL:

Router(config)#int f0/1

Router(config-if)#ip access-group 10 out

43、

Router(config)#access-list 1 d

Router(config)#access-list 1 deny 192.168.12.128 0.0.0.31

Router(config)#access-list 10 permit any

Router(config)int f0/1

Router(config-if)#ip access-group 10 out

43、完整配置ACL：

Router(config)#access-list 1 deny 192.168.12.128 0.0.0.31

Router(config)#access-list 10 permit any

Router(config)#int f0/1

Router(config-if)#ip access-group 10 out

控制VTY（Telnet）访问

44、路由器上的活动端口是允许VTY访问的，造成阻止用户远程登录到大型路由器较为困难

45、可以通过创建扩展ACL到接入接口来限制远程登录到路由器，但是由于接口入口成百上千，应用起来很麻烦

46、解决方案：使用标准ACL控制访问VTY线路（使用access-class命令）

例： Router(config)#access-list 50 Permit 172.16.10.3

Router(config)#line vty 0 4

Router(config-line)#access-class ?

   <1-199>  IP access list

   WORD     Access-list name

Router(config-line)#access-class 50 ?

   in   Filter incoming connections

   out  Filter outgoing connections

Router(config-line)#access-class 50 in

扩展的ACL (page 554)

47、通过使用扩展的ACL，使得在允许访问物理LAN的同时，不允许访问特定主机或主机上的特定服务

48、例如：Router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log

其中，最后的log用于每次执行访问列表时向控制台发送消息，可以用于监视非法访问

49、注意：每个访问列表末尾隐含deny all语句，因此在配置完筛选条件后，必须在后面有命令#access-list 110 permit ip any any

50、将访问列表应用到一个接口：Router(config-if)#ip access-group 110 in或out

in为进，out为出

高级访问列表

51、命名的ACL：在创建和应用标准或扩展的ACL时，都允许使用命名的ACL，替代ACL号来帮助参考提示 

52、创建标准命名的ACL例子，注意从ip access-list开始，不是access-list

Router(config)#ip access-list standard BlockSales

Router(config-std-nacl)# 此处为在命名的ACL配置模式下

53、例：将命名ACL应用到一个接口：

Router(config-if)#ip access-group BlockSales out

交换机端口ACL

54、记住：仅可以在交换机第2层接口上应用ACL，因为ACL只支持第2层物理层接口

55、对于交换机，只能使用命名的ACL，并且只能应用于入口接口

56、ACL可用于虚拟局域网的流量控制，需要把ACL应用到一个中继端口

57、注意：如果在一个语音VLAN端口上使用ACL，那么ACL将会过滤数据VLAN流量

58、一个端口只能应用一种类型的过滤，IP或MAC，如果尝试应用两种ACL，则最新应用的ACL将覆盖原ACL

59、基于MAC地址ACL应用举例：

Router(config)#mac access-list extend Todd_MAC_List

Router(config-ext-macl)#deny any host 000d.29bd.4b85

Router(config-ext-macl)#permit any any

Router(config-ext-macl)#do show access-list

Router(config-ext-macl)#int f0/1

Router(config-if)#mac access-group Todd_MAC_List in

60、MAC地址配置中基于以太帧报头中的以太类型字段拒绝访问：

例如：

Router(config-ext-macl)#deny any any aarp

锁和钥匙（动态ACL）P563

61、在配置一个动态ACL之前，需要在路由器上应用一个扩展ACL来阻止流量

62、工作原理：远程登录到路由器是唯一能够通过扩展ACL的封锁的方法，用户发起Telnet被丢弃后，同时被已附加到扩展ACL上的一个单条目动态ACL取代，这导致在特定时限内能允许了流量的通过

自反ACL

63、自反ACL依据上层会话信息过滤IP包，通常允许出口流量通过，限制入口流量

64、自反ACL只能用扩展的命名ACL定义，可随其他标准或静态扩展ACL一起使用

基于时间的ACL

65、时间周期依据路由器的时钟，最好与网络时间协议（NTP）同步使用

66、remark可以用来注释标准和扩展的ACL，例子：

Router(config)#access-list 110 remark XXXXXXXXXXXX

Router(config)#access-list 110 permit (省略)……

67、只能通过running-config中看到remark，无法在show access-list中看到

基于上下文的ACL（Cisco IOS防火墙）

68、基于上下文的访问控制（CBAC）：审查任何试图通过防火墙的流量，找出并控制TCP和DUP会话信息；根据收集到的信息决定是否创建一个临时路径通往防火墙的ACL

69、Cisco IOS防火墙工作原理（CBAC工作原理）：

认证代理

70、那些被ACL阻塞的流量可以开启一个浏览器通过防火墙，并且接着在TACACS+或RADIUS服务器上认证

监控访问列表

71、show access-list

show access-list 110

show ip access-list

show ip interface

show running-config

show mac access-group

 

使用SDM配置访问列表