1、使用Cisco路由器和IOS(Cisco互联网络操作系统)阻止对网络的安全威胁,两者结合探测阻止多种类型入侵
2、ACL:访问控制表,配置访问列表是路由器配置关键部分
3、本章介绍:TCP/IP访问列表、2层交换机上的MAC访问列表、用于测试和监视应用访问列表的工具、Cisco IOS防火墙、CLI配置ALC
4、内网路由器:通过屏蔽网络各部分的流量提供附加的安全保障,基于访问列表实现
5、DMZ区可使用全球因特网地址或私有地址,取决于如何配置防火墙
6、包含安全属性的多层交换机,在内网中通过使用VLAN,有时可以取代路由器,提供高性能
7、病毒作为恶意程序,附着在command.com文件之上,是Windows系统的主要解释文件;木马是封装了秘密代码的完整程序,伪装呈现不同表面
8、Cisco的防火墙叫做自适应安全设备(ASA),根据需要功能,添加不同模块,性价比高
9、Cisco IOS运行在大部分因特网主干路由器上,Cisco IOS防火墙为端到端外网、内网、远程访问网络提供安全解决方案
10、需要深入理解ACL工作原理!为本章重点
11、对等路由认证:保证路由从真实可信的源地址得到可靠的路由信息
访问列表:
12、访问列表本质上是一系列对包进行分类的条件,用于控制网络流量
13、最常见:过滤不希望通过的包
14、访问列表语句是对包进行比较、分类、实施操作的包过滤器
15、列表一旦建立,可以应用到任何端口输入或输出方向的流量上
16、规则:数据包和访问列表比较遵循以下规则:
1.按顺序比较ACL每一行,第一行、第二行、……
2.直到找到匹配行,不在进行比较,按该行规定行事
3.每个ACL最后是一行deny语句,意味着比较到最后一行都不匹配则数据包将被丢弃
17、两种类型访问列表:标准的ACL、扩展的ACL
18、标准ACL:只是用IP数据包源IP地址作为筛选条件,意味着只能允许或拒绝整个协议组,而不区分Ip流量类型,如WWW、Telnet、UDP等
19、扩展ACL:可以测试IP包第3、4层报头中的源IP、目的IP、网络层报头中的协议字段、传输层报头中的端口号
20、创建ACL后,只是在路由器中存在,没有被激活
21、应用激活ACL时应指定路由器接口、接口流量方向(来、去),通常需要在一个接口的输入和输出方向使用不同的访问列表
22、入口ACL:数据包在被路由到输出接口之前经过访问列表处理,在入口处拒绝不符合条件的包,在路由之前丢弃
23、出口ACL:在进入路由输出接口的输出队列之前经过访问列表处理
24、每个接口、每个协议、每个方向只可以分派一个访问列表。(因为每个访问列表末尾都隐含有拒绝语句,假如拒绝了第一个表,第二个就无从比对)。例如创建了IP访问列表,每个接口只能有一个入口访问列表和一个出口访问列表
25、组织访问列表:将特殊的测试放在最前
26、推荐使用文本编辑器编辑访问列表,往ACL添加新条目时,将放置到列表末尾
27、在编辑列表之前将访问列表复制到文本编辑器中修改,不能直接修改;而在使用命名访问列表时例外,可以单独删除一行。
28、除非访问列表末尾有permit any命令,否则所有和列表测试条件不符合的数据包将丢弃;如果是空列表,将拒绝所有流量
29、先创建访问列表,再将其应用到一个接口
30、访问列表过滤通过路由器的流量,不过滤路由器本身产生的流量
31、将标准ACL尽可能放置在靠近目的地址的位置。不能将标准的访问列表放置在靠近源主机或源网络的位置,这样只会过滤基于源地址的流量,而造成不能转发任何流量
32、将扩展ACL尽可能放置在靠近源地址的位置。(为了在穿过整个网络前早早被拒绝),节省带宽
使用ACL降低安全威胁
33、降低威胁:IP地址欺骗(对内、外)、Dos攻击、过滤ICMP信息(对内、外)过滤traceroute
34、禁止任何包含内网任意地址的IP包进入专用网络
35、ACL规则,以下任何地址都不允许进入我们的内部网络:任何来自内部网络的地址;任何地址主机地址;任何保留的专用地址;任何IP组播地址范围之中的地址
标准的ACL
36、通过使用源IP地址过滤网络流量
37、可使用1-99、1300-1999列表号告诉路由器创建标准的访问列表
38、Router(config)#access-list 10 deny ?
A.B.C.D Address to match
any Any source host
host A single host address
通配符
39、使用通配符,指定任意范围的主机,告诉路由器过滤的有效地址范围
40、通配符举例:指定一台主机172.16.30.0 0.0.0.0
指定/24子网 172.16.30.0 0.0.0.255
指定子网中的小范围 172.16.8.0 0.0.7.255 (从127.16.8.0开始块大小为8)
41、any命令和通配符 0.0.0.0 255.255.255.255 的意义是一样的
标准ACL示例
42、放置、激活ACL:
Router(config)#int f0/1
Router(config-if)#ip access-group 10 out
43、
Router(config)#access-list 1 d
Router(config)#access-list 1 deny 192.168.12.128 0.0.0.31
Router(config)#access-list 10 permit any
Router(config)int f0/1
Router(config-if)#ip access-group 10 out
43、完整配置ACL:
Router(config)#access-list 1 deny 192.168.12.128 0.0.0.31
Router(config)#access-list 10 permit any
Router(config)#int f0/1
Router(config-if)#ip access-group 10 out
控制VTY(Telnet)访问
44、路由器上的活动端口是允许VTY访问的,造成阻止用户远程登录到大型路由器较为困难
45、可以通过创建扩展ACL到接入接口来限制远程登录到路由器,但是由于接口入口成百上千,应用起来很麻烦
46、解决方案:使用标准ACL控制访问VTY线路(使用access-class命令)
例: Router(config)#access-list 50 Permit 172.16.10.3
Router(config)#line vty 0 4
Router(config-line)#access-class ?
<1-199> IP access list
WORD Access-list name
Router(config-line)#access-class 50 ?
in Filter incoming connections
out Filter outgoing connections
Router(config-line)#access-class 50 in
扩展的ACL (page 554)
47、通过使用扩展的ACL,使得在允许访问物理LAN的同时,不允许访问特定主机或主机上的特定服务
48、例如:Router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log
其中,最后的log用于每次执行访问列表时向控制台发送消息,可以用于监视非法访问
49、注意:每个访问列表末尾隐含deny all语句,因此在配置完筛选条件后,必须在后面有命令#access-list 110 permit ip any any
50、将访问列表应用到一个接口:Router(config-if)#ip access-group 110 in或out
in为进,out为出
高级访问列表
51、命名的ACL:在创建和应用标准或扩展的ACL时,都允许使用命名的ACL,替代ACL号来帮助参考提示
52、创建标准命名的ACL例子,注意从ip access-list开始,不是access-list
Router(config)#ip access-list standard BlockSales
Router(config-std-nacl)# 此处为在命名的ACL配置模式下
53、例:将命名ACL应用到一个接口:
Router(config-if)#ip access-group BlockSales out
交换机端口ACL
54、记住:仅可以在交换机第2层接口上应用ACL,因为ACL只支持第2层物理层接口
55、对于交换机,只能使用命名的ACL,并且只能应用于入口接口
56、ACL可用于虚拟局域网的流量控制,需要把ACL应用到一个中继端口
57、注意:如果在一个语音VLAN端口上使用ACL,那么ACL将会过滤数据VLAN流量
58、一个端口只能应用一种类型的过滤,IP或MAC,如果尝试应用两种ACL,则最新应用的ACL将覆盖原ACL
59、基于MAC地址ACL应用举例:
Router(config)#mac access-list extend Todd_MAC_List
Router(config-ext-macl)#deny any host 000d.29bd.4b85
Router(config-ext-macl)#permit any any
Router(config-ext-macl)#do show access-list
Router(config-ext-macl)#int f0/1
Router(config-if)#mac access-group Todd_MAC_List in
60、MAC地址配置中基于以太帧报头中的以太类型字段拒绝访问:
例如:
Router(config-ext-macl)#deny any any aarp
锁和钥匙(动态ACL)P563
61、在配置一个动态ACL之前,需要在路由器上应用一个扩展ACL来阻止流量
62、工作原理:远程登录到路由器是唯一能够通过扩展ACL的封锁的方法,用户发起Telnet被丢弃后,同时被已附加到扩展ACL上的一个单条目动态ACL取代,这导致在特定时限内能允许了流量的通过
自反ACL
63、自反ACL依据上层会话信息过滤IP包,通常允许出口流量通过,限制入口流量
64、自反ACL只能用扩展的命名ACL定义,可随其他标准或静态扩展ACL一起使用
基于时间的ACL
65、时间周期依据路由器的时钟,最好与网络时间协议(NTP)同步使用
66、remark可以用来注释标准和扩展的ACL,例子:
Router(config)#access-list 110 remark XXXXXXXXXXXX
Router(config)#access-list 110 permit (省略)……
67、只能通过running-config中看到remark,无法在show access-list中看到
基于上下文的ACL(Cisco IOS防火墙)
68、基于上下文的访问控制(CBAC):审查任何试图通过防火墙的流量,找出并控制TCP和DUP会话信息;根据收集到的信息决定是否创建一个临时路径通往防火墙的ACL
69、Cisco IOS防火墙工作原理(CBAC工作原理):
认证代理
70、那些被ACL阻塞的流量可以开启一个浏览器通过防火墙,并且接着在TACACS+或RADIUS服务器上认证
监控访问列表
71、show access-list
show access-list 110
show ip access-list
show ip interface
show running-config
show mac access-group