思科基于上下文访问控制的网络安全技术

 

随着金融电子化应用的普及和深入，银行中间业务、代理业务等得到了充分的发展，银行计算机业务系统与外单位的计算机应用系统要通过计算机网络互联，防护银 行计算机网络免受外单位的侵害，保证银行信息和资金的安全，是银行计算机安全建设的重要课题。对于规模较小而又分散的支行级网点，做好与外单位的网络安全 隔离显得尤为重要，采用专用防火墙固然可以起到安全隔离的作用，但投入较大，难以大规模地应用于为数众多的这一类网点。在这种情况下，使用Cisco IOS防火墙特性集便是一种性价比非常高的选择。 一、Cisco IOS安全技术 ---- Cisco IOS防火墙特性集作为Cisco IOS软件的一个选项，提供了一个先进的安全解决方案，这种集成化路由器安全解决方案是Cisco Systems安全解决方案系统中的一个部件。 ---- Cisco IOS安全服务包括一系列特性，能使管理人员将一台Cisco路由器配置成为一个防火墙，而Cisco IOS防火墙特性集则可以为现有的Cisco IOS安全解决方案增加更大的深度和灵活性。表1为Cisco IOS防火墙特性集相关新特性的概述。 二、基于上下文的访问控制 ---- 基于上下文的访问控制(CBAC)是Cisco IOS防火墙特性集最显著的新增特性。CBAC技术的重要性在于: 使管理员能够将防火墙配置为一个智能化、集成化的单框解决方案的一部分。CBAC通过严格审查源和目的地址，增强了使用众所周知端口的TCP和UDP应用 程序的安全。 ---- 1．CBAC工作原理 ---- CBAC是一个适用于IP通信的、基于每一个应用的控制机制，包括标准TCP和UDP Internet应用程序、多媒体应用程序(包括H.323应用程序、CU-SeeME、VDOLive、Streamworks及其他应用程序)以及 Oracle数据库。CBAC检查TCP和UDP包，并跟踪它们的“状态”或连接状态。 ---- TCP是一个面向连接的协议。在传输数据之前，源主机与一个目的主机洽谈连接，通常被称为“三向握手”。这种握手过程确保有效的TCP连接和无错的传输。 在连接建立期间，TCP穿过几个“状态”或阶段(由数据包头标识的)。标准和扩展的访问控制列表(ACL)从包头状态来决定是否允许通信通过一个连接。 ---- CBAC通过检查整个(数据)包了解应用程序状态信息，给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、会话（Session）特定的 ACL入口，从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个会话结束时，ACL入口被删除，大门关闭。标准和扩 展的ACL不能创建暂时的ACL入口，因此直至目前，管理员一直被迫针对信息访问要求衡量安全风险。 ---- CBAC比目前的ACL解决方案更加安全，因为它根据应用类型决定是否允许一个会话通过防火墙，并决定是否为回返通信流量选择某一通道。在CBAC之前， 管理员仅通过编写基本上使防火墙大门洞开的永久性ACL，就能够许可先进的应用通信，因此大多数管理员选择否决所有这类应用通信。现在，有了CBAC，在 需要时通过打开防火墙大门和其他时候关闭大门，安全地许可多媒体和其他应用通信。例如，如果CBAC被配置成允许Microsoft NetMeeting，那么当一个内部用户初始化一次连接时，防火墙允许回返通信。但是，如果一个外部NetMeeting来源于一个内部用户初始化连接 时，CBAC将否决进入，并撤消数据包。 ---- 2．CBAC使用的加强机制 ---- 数据包检查监视数据包控制通道，识别控制通道中的应用专用指令，检测和预防应用级***。 ---- 通过检查，包将被转发，而CBAC创建一个状态表来维护会话状态信息。如果状态表存在，表明(数据)包属于一个有效会话，回返通信流量将仅被许可通过集成化的防火墙。这种可配置的特性负责监视定义的会话。 ---- 当会话结束时，状态表被删除。在UDP(一种非连接的服务)情况下，CBAC通过根据地址/端口配对检查包来决定UDP会话，相应地中止UDP“会话”访问。 ---- CBAC根据状态表中的信息，动态地创建和删除每一个路由器接口的访问控制列表入口。这些入口在集成的防火墙中创建暂时的“开口”，允许有效的回返通信流量进入网络。与状态表相似，动态ACL在会话结束时不被保存。 ---- 3．CBAC适用于何处 ---- CBAC是针对每个接口进行配置的，可以被用于控制源于防火墙另一方的通信(双向); 但是，大多数客户将CBAC用于仅源于一方的通信(单向)。 ---- 将CBAC配置为一个单向控制，其中客户会话是在内部网内启动的，必须穿过防火墙才能访问一个主机。例如，一个分支办事处可能需要跨一个广域网连接或Internet访问企业服务器。CBAC可根据需要打开连接，并监视回返通信流量。 ---- 当位于防火墙两端的双方都需要保护时，CBAC可以成为一个双向解决方案。这种配置的一个例子是在两个合作伙伴公司的网络之间，某些应用程序的通信被限制在一个方向，而其他应用程序则被限制在另一个方向。 ---- 4．有关CBAC的其他说明 ---- 对于每一个连接，CBAC可为状态表和动态ACL跟踪分配内存。如果只有一个ACL组被配置在某一给定的方向，那么CBAC在每一个连接上所消耗的内存均 少于600B(跨所有平台)。一个应用程序会话可能包括多个TCP/UDP连接。例如，一个NetMeeting会话包括多达7个TCP/UDP连接。 ---- CBAC和加密可以在同一接口上使用。但是，CBAC不能检查加密的数据包的内容。当路由器也是加密点时，CBAC和加密可以协同工作，即CBAC可以在加密以前检查数据包。 ---- CBAC可以与快速交换和过程交换一同工作，在Cisco 1600和2500系列路由器平台上提供一流的性能。 三、应用实例 ---- 下述实例是一个银证转账的示例。证券公司和银行支行位于一个县城，证券公司与银行支行之间有一条DDN，证券公司的服务器与该银行市行的服务器通信，实现信息交换(具体结构见附图)。 附图 信息交换具体结构图 ---- 1．实施的技术 重新规划证券端的IP地址，使用私有地址172.68.0.0网段，在网络层将证券和银行网络隔开。 使用网络地址转换（NAT），将证券服务器需要访问的市行服务器进行地址转换（转换为172.68.0.0范围的地址）。这样一方面可以隐藏银行内部网络拓扑结构，另一方面可以使证券端路由器不需要了解前往银行市行的路由，只定义一个缺省网关即可。 使用访问控制列表ACL，仅仅允许证券端被授权主机对银行指定服务器使用FTP，同时打开ICMP（使用Ping命令）做测试用。其他访问都一概禁止。 对于银行内部网络访问证券端，应用了基于上下文的访问控制（CBAC），只有从银行内部发起的连接才被允许通过路由器。 ---- Cisco IOS防火墙应用方案汇总如表2所示。 ---- 2．简明配置 路由器基本安全配置 service password-encryption //将配置中的口令加密显示 no service udp-small-servers //下面的命令如果不使用就禁止 no service tcp-small-servers no cdp running或no cdp enable no ip source-route enable secret your_password no ip directed-broadcast 银行支行Cisco 2620的配置 ip inspect audit-trail //将CBAC审计信息纪录到Syslog ip inspect name security ftp //监控FTP、TFTP、Telnet等TCP服务 ip inspect name security tftp ip inspect name security tcp interface Serial0/0 ip address 10.1.3.1 255.255.255.252 ip nat inside //应用地址转换NAT interface Serial1/1 ip address 172.68.1.1 255.255.255.0 ip access-group 101 in //控制外单位进入的访问 ip inspect security out //应用CBAC到往外单位 ip nat outside //应用地址转换NAT ip nat inside source static 10.1.1.100 172.68.1.100 //定义NAT地址映射 ip route 172.68.2.0 255.255.255.0 172.68.1.2 access-list 101 permit icmp any any //配置访问控制列表允许Ping和Ftp access-list 101 permit tcp host 172.68.2.6 host 172.68.1.100 eq ftp 证券公司Cisco 2501的配置 interface E0 ip address 172.68.2.254 255.255.255.0 interface Serial3 ip address 172.68.1.2 255.255.255.0 ip route 0.0.0.0 0.0.0.0 172.68.1.1 //缺省网关，隐藏路有信息 诊断命令 show ip inspect session //察看建立的CBAC会话 show ip inspect all //察看CBAC配置等信息 show ip nat transaction //察看NAT地址转换映射条目 show ip nat statistics //察看NAT统计数据 show ip access-list //察看访稳控制列表应用情况 其他Debug调试命令 四、应用结论 ---- 经测试，证券服务器可以访问银行市行的服务器，业务正常进行。从证券端（包括Cisco 2501路由器和服务器等）不能访问银行内部网络（开放了Ping调试用），银行内部网络对证券端来说完全隐藏（看不到任何包含10开头的地址或者路 由），而银行网络通过CBAC可以安全访问证券端的路由器或者服务器。 ---- 通过Cisco IOS防火墙的应用实施，实现了银行和证券公司网络的隔开，并对外部隐藏了银行网络。访问控制又保证了拒绝非法访问并抵御外部网络***。事实上，除了在银行业的应用，Cisco IOS也适用于有多个分支机构的普通企业的中小安全应用。

转载于:https://blog.51cto.com/hypc123/350380