第一节 访问控制列表
包过滤技术(IP Filtering or Packet Filtering)的原理在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫作包过滤(Packet Filtering)。由于Internet与Intranet的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP过滤功能,过滤路由器也可以称作包过滤路由器或筛选路由器(Packet Filter Router)。防火墙常常就是这样一个具备包过滤功能的简单路由器,这种Firewall应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其他的技术来加强安全性。
包过滤技术应用在路由器中,就为路由器增加了对数据包的过滤功能。一般情况下,指的是对IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口和目的端口等,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
路由器逐一审查数据包以判定它是否与其他包过滤规则相匹配。每个包有两个部分:数据部分和包头。过滤规则以IP包头信息为基础,不考虑包内的正文信息内容。包头信息包括:IP源地址、IP目的地址、封装协议(TCP、UDP或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许接收这包,这一数据包则根据路由表中的信息前行;如果未找到一个匹配,且规则拒绝此包,这一包则被舍弃;如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。
包过滤规则允许Router取舍以一个特殊服务为基础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接,则Router舍弃端口值为23、25的所有数据包。
一、访问列表概念
为了过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过。一般采用访问列表技术来配置过滤规则,而访问列表分为两类:①标准访问列表;②扩展访问列表。
对于每个访问列表,你可以输入具体的规则来允许或者禁止数据包,访问列表用号码来标识。针对一个访问列表的所有语句必须使用相同的号码。标准访问列表的号码范围是1~99,而扩展访问列表的号码范围是100~199。
二、标准IP访问列表
1.标准IP访问列表的命令语句及格式如下所示
注意:所有的访问列表是在全局配置模式下生成的。
access-list listnumber{permit|deny}address[wildcard-mask]
此格式表示:允许或拒绝来自指定网络的数据包,该网络由IP地址(address)和地址通配比较位(wildcard-mask)指定。其中:
listnumber为规则序号,标准访问列表的规则序号范围为1~99。
permit和deny表示允许或禁止满足该规则的数据包通过。
address和wildcard-mask分别为IP地址和通配比较位,指定某个网络。如果IP地址指定为any,则表示所有IP地址,而且不需配置指定相应的通配位。通配位缺省为0.0.0.0。另一个是“host”,它只能用于扩展访问列表中,用来代替掩码0.0.0.0。在标准访问列表中,当掩码是0.0.0.0时省略它。
通配比较位的用法类似于子网掩码,但是写法不相同。IP地址与地址通配位的关系语法规定如下:在通配位中相应位为1的地址中的位在比较中被忽略。IP地址与通配位都是32位的数。如通配位是0x00ffffff(0.255.255.255),则比较时,高8位需要比较,其他的都被忽略。又如IP地址是129.103.1.1,通配位是0.0.255.255,则地址与通配位合在一起表示129.103.0.0网段。若要表示203.38.160.0网段,地址位写成203.38.160.X(X是0~255之间的任意一个数字),通配位为0.0.0.255。
并不是所有的掩码在“精确匹配”位和“无关”位之间都有两个8位位组的边界。有时,计算匹配性是十分困难的事。例如下面例子中第三个8位位组的二进制分解:
172.16.16.0 0.0.7.255
地址位:16=0 0 0 1 0 0 0 0
掩码位:7=0 0 0 0 0 1 1 1
可以看出,如果不管掩码中为1的相对应的地址位,这对数字描述了八种可能的数字范围,从16~23。如下所示,可以用二进制从16~24来验证它:
16=0 0 0 1 0 0 0 0
17=0 0 0 1 0 0 0 1
19=0 0 0 1 0 0 1 0
19=0 0 0 1 0 0 1 1
20=0 0 0 1 0 1 0 0
21=0 0 0 1 0 1 0 1
22=0 0 0 1 0 1 1 0
23=0 0 0 1 0 1 1 1
24=0 0 0 1 1 0 0 0
注意:当我们计数到24时,地址上的23位从0变成1。23位不再符合掩码,所以它不再属于这对数字所描述的范围内。
所有地址掩码对的IP地址范围是从172.16.16.0到172.16.23.255。
2.配置标准I P访问列表的注意事项
(1)记住,每个访问列表的结尾含有隐式的Deny Any,而且每个访问列表都必须包含至少一个允许的语句。
(2)当设置一个访问列表时,有两种不同的表示方法。如果你明确知道想允许的通信量,而且可用几条简单的语句描述出来,则可以明确允许那些通信量,拒绝其他的通信量。相反,如果你能够用几条简单的语句描述你想禁止的通信量,你可以明确拒绝那些通信量,然后用允许一切来结尾。一般情况下使用尽可能少的语句数,这样可以节省CPU周期时间。
(3)由于第一个匹配的语句将执行,所以顺序是十分重要的。由于路由器在找到第一个匹配数据包的语句时就停止工作,因此如果匹配的语句靠近表的前面,则会得到更好的性能。
三、扩展IP访问列表
表7-1是配置扩展访问列表的命令集。
表7-1 配置扩展访问列表
扩展访问列表的格式如下:
access-list listnumber{permit|deny}protocol source source-wildcard-mask destination destination-wildcard-mask[operator operand]
此格式表示允许或拒绝满足如下条件的数据包通过:
(1)带有指定的协议(portocol),如TCP、UDP等。
(2)数据包来自由source及source-wildcard-mask指定的网络。
(3)数据包去往由destination及destination-wildcard-mask指定的网络。
(4)该数据包的目的端口在由operator operand规定的端口范围之内。
其中:
listnumber为规则序号,扩展访问列表的规则序号范围为100~199。
permit和deny表示允许或禁止满足该规则的数据包通过。
protocol可以指定为0~255之间的任一协议号(如1表示ICMP协议),对于常见协议(如IP、TCP和UDP),可以直观地指定协议名,若指定为IP,则该规则对所有IP包均起作用。
source和source-wildcard-mask以及destination和destination-wildcard-mask之间的关系请参见标准访问列表中相关内容。如果IP地址指定为any,则表示所有IP地址,而且不需指定相应的通配位,通配位缺省为0.0.0.0。
operator operand用于指定端口范围,缺省为全部端口号0~65535,只有TCP和UDP协议需要指定端口范围。支持的操作符及其语法如表7-2所示。
表7-2 扩展访问列表的操作符意义
在指定portnumber时,对于部分常见的端口号,可以用相应的助记符来代替其实际数字,支持的助记符如表7-3所示。
表7-3 端口号助记符
续表7-3
例:100deny udp any any eq rip表示禁止接收和发送RIP报文。
100permit tcp 129.8.0.0 0.0.255.255 202.39.160.0 0.0.0.255eq www表示允许从129.8.0.0网段的主机向202.39.160.0网段的主机发送www报文。
四、在接口上应用访问列表
表7-4是配置指定接口上访问列表的命令集。(www.xing528.com)
表7-4 配置指定接口上访问列表的命令集
你不仅需要建立想启用的访问列表,同时还必须将它提供给每个想用它的接口。一个访问列表可用于同一个路由器的许多不同的接口。
进入接口配置模式,使用命令IP access-group 1out将该接口放入使用访问列表101作为过滤的组。注意命令末端的参数out,out是默认参数,它表示数据包将在从路由器到出站的路上进行过滤。因为out是默认参数,可以省略,所以IP access-group 101表示同样的意思。
如果将其用作网络接口的入站数据包过滤,使用命令IP access-group 101in。参数in|out表示是入站还是出站。如果你想让访问列表对两个方向都有用,则两个参数都要加上,一个表示入站,一个表示出站。对于每个协议的每个接口的每个方向,只能提供一个访问列表。
五、访问列表的核验
当配置完IP访问列表后,如果想确认是否正确,可以使用Show access-lists命令和Show ip interfaces命令来检验IP访问列表。
Show access-lists命令显示路由器中所有的访问列表,包括IP、IPX和Apple Talk。Show access-lists命令的输出结果,显示了路由器中配置的标准和扩展访问列表。
此时可以看到,Show access-lists命令显示了路由器中所有类型的访问列表的配置细节,而不单单是IP访问列表。我们可以在命令行中指定特定的访问列表号来单独显示一个访问列表。
Show IP interfaces命令提供了接口配置的IP指定方面的信息,它被专用来看什么数据包过滤应用于接口。它并不显示访问列表的内容,而只有访问列表的号码。
第二节 交换机的端口安全
使用交换机进行网络互连时,经常需要对交换机的端口进行访问。为了防范对端口的恶意访问,可以使用端口安全特性来约束进入一个端口的访问,可以使用基于绑定和识别站点的MAC地址的方法来实现端口安全。
当你绑定了固定的MAC地址给一个端口,这个端口不会转发限制以外的MAC地址为源的包。如果你限制安全MAC地址的数目为1,并且把这个唯一的源地址绑定了,那么连接在这个接口的主机将独自占有这个端口的全部带宽。
如果一个端口已经达到了配置的最大数量的安全MAC地址,当这个时候又有另一个MAC地址要通过这个端口连接的时候就会发生安全违规(Security Violation);同理,如果一个站点配置了MAC地址安全或者是从一个安全端口试图连接到另一个安全端口,数据包就会打上违规标志。
一、理解端口安全
当给一个端口配置了最大安全MAC地址数量,安全地址是以以下方式包括在一个地址表中的:
如果要配置所有的MAC地址,使用switchport port-security mac-address<mac地址>这个接口命令。
可以允许动态配置安全MAC地址,使用已连接设备的MAC地址。可以配置一个地址的数目且允许保持动态配置。
如果这个端口shutdown了,所有的动态学习的MAC地址都会被移除。
一旦达到配置的最大的MAC地址的数量,地址们就会被存在一个地址表中。设置最大MAC地址数量为1,并且配置连接到设备的地址,确保这个设备独占这个端口的带宽。
当以下情况发生时就是一个安全违规:
(1)最大安全数目MAC地址表外的一个MAC地址试图访问这个端口。
(2)一个MAC地址被配置为其他的接口的安全MAC地址的站点试图访问这个端口。
你可以配置接口的三种违规模式,这三种模式是基于违规发生后的动作:
(1)protect—当MAC地址的数量达到了这个端口所允许的最大数量,带有未知的源地址的包就会被丢弃,直到删除了足够数量的MAC地址,降到最大数值以下才不会被丢弃。
(2)restrict—丢充未允许的MAC地址流量,创建日志消息,并发送SNMP Trap消息。
(3)shutdown—一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-disable状态,要恢复正常必须使用全局下的errdisable recovery cause psecure-violation命令,或者可以手动shut再no shut端口。这个是端口安全违规的默认动作。
二、默认的端口安全配置
以下是端口安全在接口下的配置。
特性:port-sercurity 默认设置:关闭
特性:最大安全MAC地址数目 默认设置:1
特性:违规模式 默认配置:shutdown,此端口在最大安全MAC地址数量达到的时候会shutdown,并发送snmp trap消息。
1.配置向导
下面是配置端口安全的向导。
(1)安全端口不能在动态的Access口或者Trunk口上做,换言之,当输入port-secure之前必须是在switch mode acc之后。
(2)安全端口不能是一个被保护的口。
(3)安全端口不能是SPAN的目的地址。
(4)安全端口不能属于GEC或FEC的组。
(5)安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x,就会有报错信息,而且802.1x也关了。如果你试图改变开启了802.1x的端口为安全端口,错误信息就会出现,安全性设置不会改变。
2.配置案例
(1)在f0/12上最大MAC地址数目为5的端口安全,违规动作为默认。
(2)如何配置f0/12安全MAC地址
(3)配置端口安全超时时间为两小时。
其他查看命令含义show
show port-security看哪些接口启用了端口安全
show port-security address看安全端口MAC地址绑定关系
第三节 防火墙基础
防火墙是个比较热的词,大家平时也肯定或多或少地接触到了这个词,我们力求在防火墙这个专题中给予大家更多的关于防火墙的知识,在这里我们所指的防火墙是Internet的防火墙,包括个人的和企业的。所谓“病毒防火墙”不是我们这次讨论的范畴,因为其本身只是杀毒软件的一个新功能。
防火墙(Firewall)定义:一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网,还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外,防火墙还可以被用来保护企业内部网络某一个部分的安全。例如,一个研究或者会计子网可能很容易受到来自企业内部网络的窥探。
简单说防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能:防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
使用防火墙的原因:防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙有不同类型:一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。另外,直接连在因特网的机器可以使用个人防火墙。
网络防火墙早已是一般企业用来保护企业网络安全的主要机制。然而,企业网络的整体安全涉及的层面相当广,防火墙不仅无法解决所有的安全问题,防火墙所使用的控制技术、自身的安全保护能力、网络结构、安全策略等因素都会影响企业网络的安全性。
在众多影响防火墙安全性能的因素中,有些是管理人员可以控制的,但是有些却是在选择了防火墙之后便无法改变的特性,其中一个很关键的就是防火墙所使用的存取控制技术。目前防火墙的控制技术大概可分为:封包过滤型(Packet Filter)、封包检验型(Stateful Inspection Packet Filter)以及应用层闸通道型(Application Gateway)。这三种技术分别在安全性或效能上有其特点,不过一般人往往只注意防火墙的效能而忽略了安全性与效率之间的冲突。本书针对防火墙这三种技术进行说明,并比较各种方式的特色以及可能带来的安全风险或效能损失。
(1)封包过滤型:封包过滤型的控制方式会检查所有进出防火墙的封包标头内容,如对来源及目的IP、使用协定、TCP或UDP的Port等信息进行控制管理。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。封包过滤型控制方式最大的好处是效率高,但却有几个严重缺点:管理复杂,无法对连线做完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。
(2)封包检验型:封包检验型的控制机制是通过一个检验模组对封包中的各个层次作检验。封包检验型可谓是封包过滤型的加强版,目的是增加封包过滤型的安全性,增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包,不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全,但其相对效能也越低。
封包检验型防火墙在检查不完全的情况下,可能会造成问题。已公布的有关Firewall-1 的Fast Mode TCP Fragment的安全弱点就是其中一例,这个为了增加效能的设计反而成了安全弱点。
(3)应用层闸通道型:应用层闸通道型的防火墙采用将连线动作拦截,由一个特殊的代理程序来处理两端间连线的方式,并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作,而不会被Client端或Server端欺骗,在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序,或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式,但也是效能最低的一种方式。
防火墙是为保护安全性而设计的,安全应是其主要考虑的因素。因此,与其一味地要求效能,不如去思考如何在不影响效能的情况下提供最大的安全保护。
上述三种运作方式虽然在效能上有所区别,但我们在评估效能的同时,必须考虑这种效能的差异是否会对实际运作造成影响。事实上,对大部分仍在使用T1以下或未来的xDSL等数Mbps的“宽带”网而言,即便是使用Application Gateway也不会真正影响网络的使用效能。在这种应用环境下,防火墙的效能不应该是考虑的重点。但是,当防火墙是架在企业网络的不同部门之间时,企业就必须考虑这种效能上的牺牲是否可以接受。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
