路由器的安全精选文档.ppt

《路由器的安全精选文档.ppt》由会员分享，可在线阅读，更多相关《路由器的安全精选文档.ppt（121页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、路由器的安全本讲稿第一页，共一百二十一页路由器的安全配置路由器的安全配置创建有效的安全策略创建有效的安全策略路由器的安全目标路由器的安全目标防止对路由器的未经授权的访问防止对路由器的未经授权的访问（保护路由器本身）（保护路由器本身）防止对网络的未经授权的访问防止对网络的未经授权的访问（通过路由器来保护网络）（通过路由器来保护网络）防止网络数据窃听防止网络数据窃听防止欺骗性路由更新防止欺骗性路由更新路由器的安全配置路由器的安全配置路由器访问安全路由器访问安全路由器网络服务安全配置：路由器网络服务安全配置：访问控制列表和过滤：访问控制列表和过滤：路由和路由协议的安全配置路由和路由协议的安全配置日志

2、和管理日志和管理路由网络接入服务的安全性路由网络接入服务的安全性如何防止如何防止DDoS攻击攻击本讲稿第二页，共一百二十一页创建安全策略创建安全策略安全策略的性质安全策略的性质安全策略的两个级别安全策略的两个级别部署安全策略的基础部署安全策略的基础本讲稿第三页，共一百二十一页安全策略的性质安全策略的性质安全策略意味着折衷安全策略意味着折衷保证对用户访问和效率的影响最小的情况下提供最大的安全性保证对用户访问和效率的影响最小的情况下提供最大的安全性安全策略应根据企业需要来确定安全策略应根据企业需要来确定由需要来支配制定安全策略由需要来支配制定安全策略安全策略的动态性安全策略的动态性根据业务、技术、

3、资源配置的变化而变化根据业务、技术、资源配置的变化而变化本讲稿第四页，共一百二十一页安全策略的两个级别安全策略的两个级别需求级安全策略：需求级安全策略：定义防止网络资源遭受入侵或破坏的保护程度，并对违反安全策略的代价进行估计。定义防止网络资源遭受入侵或破坏的保护程度，并对违反安全策略的代价进行估计。实施级安全策略实施级安全策略使用具体的技术，以预先定义的方式来实施需求级安全策略。使用具体的技术，以预先定义的方式来实施需求级安全策略。本讲稿第五页，共一百二十一页部署安全策略的基础部署安全策略的基础找出需要保护的网络资源找出需要保护的网络资源确定危险之处确定危险之处限制访问范围限制访问范围找出假设

4、情况找出假设情况确定安全措施的代价确定安全措施的代价考虑认为因素考虑认为因素保持有限的机密保持有限的机密实施具有普遍性的、可调整的安全策略实施具有普遍性的、可调整的安全策略了解典型的网络功能了解典型的网络功能物理安全物理安全本讲稿第六页，共一百二十一页路由器的安全策略路由器的安全策略路由器的安全目标路由器的安全目标*需求级需求级*防止对路由器的未经授权的访问防止对路由器的未经授权的访问（保护路由器本身）（保护路由器本身）防止对网络的未经授权的访问防止对网络的未经授权的访问（通过路由器来保护网络）（通过路由器来保护网络）防止网络数据窃听防止网络数据窃听防止欺骗性路由更新防止欺骗性路由更新路由器的

5、安全配置路由器的安全配置*实施级实施级*路由器访问安全路由器访问安全路由器网络服务安全配置：路由器网络服务安全配置：访问控制列表和过滤：访问控制列表和过滤：路由和路由协议的安全配置路由和路由协议的安全配置日志和管理日志和管理路由网络接入服务的安全性路由网络接入服务的安全性如何防止如何防止DDoS攻击攻击本讲稿第七页，共一百二十一页路由器安全的原则和目标路由器安全的原则和目标路由器安全的原则和目标路由器安全的原则和目标防止对路由器的未经授权的访问防止对路由器的未经授权的访问（保护路由器本身）（保护路由器本身）防止对网络的未经授权的访问防止对网络的未经授权的访问（通过路由器来保护网络）（通过路由器

6、来保护网络）防止网络数据窃听防止网络数据窃听防止欺骗性路由更新防止欺骗性路由更新本讲稿第八页，共一百二十一页防止对路由器的未经授权的访问（保护路由器本身）防止对路由器的未经授权的访问（保护路由器本身）物理安全物理安全操作系统的安全性操作系统的安全性路由配置文件的安全路由配置文件的安全防止对网络的未经授权的访问（通过路由器来保护网络）防止对网络的未经授权的访问（通过路由器来保护网络）基于基于tcp/ip数据包过滤原理、实行入站过滤和出站过滤数据包过滤原理、实行入站过滤和出站过滤允许要求的协议和服务通过允许要求的协议和服务通过拒绝有危险的协议和服务拒绝有危险的协议和服务防止网络数据窃听防止网络数据

7、窃听防止欺骗性路由更新防止欺骗性路由更新路由器安全的原则和目标路由器安全的原则和目标路由器安全的原则和目标路由器安全的原则和目标本讲稿第九页，共一百二十一页路由器的安全配置路由器的安全配置路由器安全的原则和目标路由器安全的原则和目标路由器的安全配置路由器的安全配置 路由器访问安全路由器访问安全 路由器网络服务安全配置路由器网络服务安全配置访问控制列表和过滤访问控制列表和过滤 路由和路由协议的安全配置路由和路由协议的安全配置日志和管理日志和管理 路由网络接入服务的安全性路由网络接入服务的安全性如何防止如何防止DDoS攻击攻击本讲稿第十页，共一百二十一页路由器访问安全路由器访问安全物理访问的严格控

8、制物理访问的严格控制物理运行环境的安全性物理运行环境的安全性远程访问控制远程访问控制随时更新随时更新IOSIOS操作系统操作系统口令安全管理口令安全管理交互式访问控制交互式访问控制本讲稿第十一页，共一百二十一页物理访问的严格控制物理访问的严格控制v只有网络管理员可以接触路由器，由管理员负责路由器的安全性只有网络管理员可以接触路由器，由管理员负责路由器的安全性v最最好好有有门门卫卫、管管理理员员或或电电子子监监控控设设备备，能能够够对对设设备备进进行行7*24小小时时的的监监控。控。v同时不能使授权人员接触路由器的过于困难。同时不能使授权人员接触路由器的过于困难。本讲稿第十二页，共一百二十一页物

9、理攻击的例子物理攻击的例子（1 1）一一个个管管理理员员或或攻攻击击者者可可以以通通过过简简单单的的终终端端或或主主机机来来连连接接到到consoleconsole口口来来可可以以通通过过物理接触来达到对一个路由器完全具有管理员权限的权利物理接触来达到对一个路由器完全具有管理员权限的权利具具体体方方法法做做简简单单的的说说明明：当当路路由由器器重重启启动动的的开开始始几几秒秒如如果果发发送送一一个个BreakBreak信信号号到到控控制制台台端端口口，则则利利用用口口令令恢恢复复程程式式可可以以很很容容易易控控制制整整个个系系统统。这这样样如如果果一一个个攻攻击击者者尽尽管管他他没没有有正正常

10、常的的访访问问权权限限，具具有有系系统统重重启启（切切断断电电源源或或系系统统崩崩溃溃）和和访访问问控控制制端端口口（通通过过直直连连终终端端、ModemModem、终终端端服服务务器器）的的能能力力就就可可以以控控制制整整个个系系统统。所以必须保证所有连结控制端口的访问的安全性。所以必须保证所有连结控制端口的访问的安全性。（2）闪存）闪存一个可以物理接触路由器的攻击者可以通过更换闪存的办法，可以使路由器从他的山一个可以物理接触路由器的攻击者可以通过更换闪存的办法，可以使路由器从他的山村启动，运行攻击者的村启动，运行攻击者的ios系统版本和配置。对这种攻击的防范只能从限制物理系统版本和配置。对

11、这种攻击的防范只能从限制物理接触来防范。必须保证物理上的安全性。接触来防范。必须保证物理上的安全性。本讲稿第十三页，共一百二十一页物理运行环境的安全性物理运行环境的安全性合适的温度和湿度合适的温度和湿度不受电磁干扰不受电磁干扰使用使用ups电源供电等。电源供电等。本讲稿第十四页，共一百二十一页远程访问控制远程访问控制使用访问控制来限制远程管理的接入主机（从物理安全性来考虑）使用访问控制来限制远程管理的接入主机（从物理安全性来考虑）可能的话最好用加密的方式来保护路由器与远程主机的通信的机密性。可能的话最好用加密的方式来保护路由器与远程主机的通信的机密性。consoleconsole和和aux(a

12、ux(辅助端口）辅助端口）的安全配置的安全配置路由器访问路由器访问IP限制命令：限制命令：access-list3permit215.17.1.00.0.0.255access-list3permit215.17.34.00.0.0.255access-list3denyanylinevty04access-class3in本讲稿第十五页，共一百二十一页远程访问控制远程访问控制主要区别是口令恢复的方法只能用在主要区别是口令恢复的方法只能用在concon口上；口上；在大多数情况下在大多数情况下auxaux是不用的；是不用的；设置设置console console 过期时间来保持安全性过期时间来保

13、持安全性 操作：操作：linecon0exec-timeout50禁止禁止aux(aux(辅助端口）辅助端口）口：一般不需要口：一般不需要 操作：操作：line aux 0line aux 0 no execno exectransportinputnone本讲稿第十六页，共一百二十一页随时更新随时更新IOSIOS操作系统操作系统新的新的iosios对旧版本的漏洞或对旧版本的漏洞或bugsbugs都会作出修复。都会作出修复。Cisco Upgrade CBOS 2.4.5Cisco Upgrade CBOS 2.4.5 http:/http:/ http:/ 线路口令认证线路口令认证线路口令：

14、线路口令：(从控制台或从控制台或VTY登录的时候用）登录的时候用）passwordpasswordlogin有效（特权）口令设置命令：有效（特权）口令设置命令：Enablesecretpassword（Enablepasswordpassword）本地本地用户认证用户认证usernamerouteradminpassword70317B21895FElinevty04loginlocal本讲稿第十九页，共一百二十一页本地口令安全配置本地口令安全配置使用使用enable secret enable secret 命令命令 enable secret enable secret 命令用于设定进入特

15、权命令用于设定进入特权EXECEXEC模式的静态口令。模式的静态口令。enable passwordenable password和和enable secretenable secret的区别的区别enable passwordenable password采用的加密算法比较弱。采用的加密算法比较弱。而而enable enable secretsecret命命令令采采用用的的是是MD5MD5算算法法，这这种种算算法法很很难难进进行行破破译译的的。但但是是这这种种MD5MD5算算法法对对于于字字典式攻击还是没有办法。典式攻击还是没有办法。使用使用service password-encrypti

16、onservice password-encryption（密码加密服务）（密码加密服务）这这条条命命令令用用于于对对存存储储在在配配置置文文件件中中的的所所有有口口令令和和类类似似数数据据（如如CHAPCHAP）进进行行加加密密。避免当配置文件被不怀好意者看见，从而获得这些数据的明文。避免当配置文件被不怀好意者看见，从而获得这些数据的明文。但但是是service service password-encrypationpassword-encrypation的的加加密密算算法法是是一一个个简简单单的的维维吉吉尼尼亚亚加加密密，很很容容易易被破译。被破译。所所以以不不要要以以为为加加密密了了就

17、就可可以以放放心心了了，最最好好的的方方法法就就是是选选择择一一个个长长的的口口令令字字，避避免免配配置置文文件件被被外界得到。且设定外界得到。且设定enable secretenable secret和和service password-encryptionservice password-encryption。本讲稿第二十页，共一百二十一页多级权限配置多级权限配置缺缺省省条条件件下下，Cisco Cisco IOSIOS只只有有一一个个超超级级权权限限的的口口令令，可可以以配配置置Cisco Cisco IOSIOS有有多多达达1616个个级级别别的的权权限限及及其其口口令令。可可以以设设

18、置置通通过过某某个个级级别别的的口口令令登登录录的的用用户户只只允允许许使使用用某某些命令。些命令。设置步骤：设置步骤：1.1.设置某条命令属于某个级别，在全局设置模式下设置某条命令属于某个级别，在全局设置模式下privilege privilege modemode level level 级别级别 命令关键字命令关键字 no no privilege privilege modemode level level 级别级别 命令关键字命令关键字注注意意：Cisco Cisco IOS IOS 可可以以定定制制0-150-15个个级级别别权权限限。0-150-15级级别别中中，数数字字越越大大

19、，权权限限越越高，权限高的级别继承低权限的所有命令。高，权限高的级别继承低权限的所有命令。2.2.设置某个级别的口令设置某个级别的口令enable secret level enable secret level 级别级别 口令口令 通过多级权限，可以根据管理要求，授予相应的工作以相应的权限。通过多级权限，可以根据管理要求，授予相应的工作以相应的权限。本讲稿第二十一页，共一百二十一页TACACS认证认证配置认证认证配置(TACACS认证认证)aaanew-modelaaaauthenticationlogindefaulttacacs+enableaaaauthenticationenable

20、defaulttacacs+enable（是否可以访问特（是否可以访问特权级别的命令）权级别的命令）aaaaccountingexecstart-stoptacacs+iptacacssource-interfaceLoopback0tacacs-serverhost215.17.1.2tacacs-serverhost215.17.34.10tacacs-serverkeyCKr3t#（对传输的信息进行加密）（对传输的信息进行加密）linevty04loginauthenticationdefaultlocal本讲稿第二十二页，共一百二十一页交互式访问控制交互式访问控制登录路由器的方法登录路

21、由器的方法：直连的控制台终端直连的控制台终端登录登录Modem拨号登录拨号登录 支持如支持如TelnetTelnet、rloginrlogin、SshSsh以及非基于以及非基于IPIP的网络协议如的网络协议如LATLAT、MOPMOP、X.29X.29和和V.120V.120等等 的远程网的远程网络登录络登录本地的异步终端和拨号本地的异步终端和拨号ModemModem用标准的用标准的TTYsTTYs。远地的网络连结不管采用什么协议都是虚拟的远地的网络连结不管采用什么协议都是虚拟的TTYsTTYs，即，即VTYsVTYs。本讲稿第二十三页，共一百二十一页控制控制VTY（虚拟终端）（虚拟终端）任任

22、何何VTYVTY应应该该仅仅允允许许指指定定的的协协议议建建立立连连结结。利利用用transport transport inputinput命命令令。如如一一个个VTYVTY只支持只支持TelnetTelnet服务，可以如下设置服务，可以如下设置 transport input telnettransport input telnet。transport input ssh transport input ssh。仅允许的仅允许的ip地址范围可以利用地址范围可以利用ipaccess-class限制访问限制访问VTY的。的。本讲稿第二十四页，共一百二十一页控制控制VTY（虚拟终端）（虚拟终端）

23、防防止止对对能能被被利利用用进进行行DosDos（拒拒绝绝服服务务攻攻击击）。这这里里攻攻击击者者不不必必登登录录进进入入，只只要要建建立立连连结，到结，到loginlogin提示符下就可以，消耗到所有的提示符下就可以，消耗到所有的VTYsVTYs。好的防御方法：好的防御方法：利利用用ip ip access-classaccess-class命命令令限限制制最最后后一一个个VTYsVTYs的的访访问问地地址址，只只向向特特定定管管理理工工作作站站打打开开。而其他的而其他的VTYsVTYs不限制，从而既保证了灵活性，也保证关键的管理工作不被影响。不限制，从而既保证了灵活性，也保证关键的管理工作

24、不被影响。另另一一个个方方法法是是利利用用exec-timeoutexec-timeout命命令令，配配置置VTYVTY的的超超时时。避避免免一一个个空空闲闲的的任任务务一一直直占占用用VTYVTY。类类似似的的也也可可以以用用service service tcp-keepalives-in tcp-keepalives-in 保保证证TcpTcp建建立立的的连连结结是是活活动动的的，从从而而避避免免恶意的攻击或远端系统的意外崩溃导致的资源独占。恶意的攻击或远端系统的意外崩溃导致的资源独占。更好的保护更好的保护VTY的方法是关闭所有非基于的方法是关闭所有非基于IP的访问，且使用的访问，且使用

25、IPSec加密所有的远端与加密所有的远端与路由器的连结。路由器的连结。本讲稿第二十五页，共一百二十一页设置设置timeout设置设置timeout（超过这个时间无任何操作，就取消该会话）（超过这个时间无任何操作，就取消该会话）linecon0exec-timeout50lineaux0exec-timeout100linevty04exec-timeout50service tcp-keepalives-inservice tcp-keepalives-in本讲稿第二十六页，共一百二十一页路由器的安全路由器的安全路由器安全的原则和目标路由器安全的原则和目标路由器的安全配置路由器的安全配置 路由

26、器访问安全路由器访问安全路由器网络服务安全配置路由器网络服务安全配置 访问控制列表和过滤访问控制列表和过滤 路由和路由协议的安全配置路由和路由协议的安全配置日志和管理日志和管理路由网络接入服务的安全性路由网络接入服务的安全性如何防止如何防止DDoS攻击攻击本讲稿第二十七页，共一百二十一页路由器网络服务安全配置路由器网络服务安全配置基于基于TCP和和UDP协议的小服务协议的小服务 echoecho、chargenchargen和和discarddiscard。Finger、NTP、CDP等等服务服务本讲稿第二十八页，共一百二十一页基于基于TCP和和UDP协议的小服务协议的小服务 这这些些服服务务

27、很很少少被被使使用用，而而且且容容易易被被攻攻击击者者利利用用来来越越过过包包过过滤滤机机制制。如如echoecho服服务务，就就可可以以被被攻攻击击者者利利用用它它发发送送数数据据包包，好好像像这这些些数数据据包包来来自自路路由由器器本本身身。所所以以最好禁止这些服务。最好禁止这些服务。命令：命令：no service tcp-small-servers no service tcp-small-servers no service udp-small-serversno service udp-small-servers本讲稿第二十九页，共一百二十一页Finger、NTP、CDP等等服务服

28、务服务作用服务作用FingerFinger服务可能被攻击者利用查找用户和口令攻击。服务可能被攻击者利用查找用户和口令攻击。NTPNTP不不是是十十分分危危险险的的，但但是是如如果果没没有有一一个个很很好好的的认认证证，则则会会影影响响路路由由器器正正确确时时间间，导导致日志和其他任务出错。致日志和其他任务出错。CDPCDP可能被攻击者利用获得路由器的版本等信息，从而进行攻击。可能被攻击者利用获得路由器的版本等信息，从而进行攻击。安全配置：可以禁止上述服务。安全配置：可以禁止上述服务。命令：命令：no service fingerno service fingerno ntp enabelno

29、ntp enabelnocdprun(全局配置全局配置)nocdpenable(端口配置端口配置)noipbootpserver本讲稿第三十页，共一百二十一页以下端口服务通常可以关闭：以下端口服务通常可以关闭：noipredirectsnoipdirected-broadcast本讲稿第三十一页，共一百二十一页路由器安全的原则和目标路由器安全的原则和目标路由器的安全配置路由器的安全配置 路由器访问安全路由器访问安全 路由器网络服务安全配置路由器网络服务安全配置访问控制列表和过滤访问控制列表和过滤路由和路由协议的安全配置路由和路由协议的安全配置日志和管理日志和管理路由网络接入服务的安全性路由网络

30、接入服务的安全性 如何防止如何防止DDoS攻击攻击本讲稿第三十二页，共一百二十一页访问控制列表和过滤访问控制列表和过滤访问控制列表访问控制列表配置原则配置原则访问控制列表访问控制列表配置配置 防止外部防止外部IP地址欺骗地址欺骗 防止外部的非法探测防止外部的非法探测 保护路由器不受攻击保护路由器不受攻击 阻止对关键端口的非法访问阻止对关键端口的非法访问 对内部网的重要服务器进行访问限制对内部网的重要服务器进行访问限制本讲稿第三十三页，共一百二十一页访问控制列表访问控制列表配置原则配置原则可可以以在在网网络络的的任任何何一一点点进进行行限限制制，但但是是最最好好在在网网络络的的边边界界路由器上进

31、行，因为在网络内部是难于判断地址伪造的。路由器上进行，因为在网络内部是难于判断地址伪造的。最最好好对对接接口口进进入入的的数数据据进进行行访访问问控控制制（用用ip ip access-group access-group list list inin）。因因为为输输出出列列表表过过滤滤只只保保护护了了位位于于路路由由器器后后的的网网络络部部分分，而而输输入入列列表表数数据据过过滤滤还还保保护护了了路路由由器器本本身身不不受到外界的攻击。受到外界的攻击。不仅对外部的端口进行访问控制，还要对内部的端口进行不仅对外部的端口进行访问控制，还要对内部的端口进行访问控制。因为可以防止来自内部的攻击行为访

32、问控制。因为可以防止来自内部的攻击行为 所有向内对话应用于路由器外部接口的所有向内对话应用于路由器外部接口的IN方向，所有向方向，所有向外对话应用于路由器外部接口的外对话应用于路由器外部接口的OUT方向。方向。本讲稿第三十四页，共一百二十一页访问控制列表访问控制列表配置说明配置说明防止外部防止外部IP地址欺骗地址欺骗防止外部的非法探测防止外部的非法探测保护路由器不受攻击保护路由器不受攻击阻止对关键端口的非法访问阻止对关键端口的非法访问对内部网的重要服务器进行访问限制对内部网的重要服务器进行访问限制针对最新蠕虫防范的访问列表针对最新蠕虫防范的访问列表本讲稿第三十五页，共一百二十一页防止外部防止外

33、部IP地址欺骗地址欺骗access-list access-list 101 101 deny deny ip ip 10.0.0.0 10.0.0.0 0.255.255.255 0.255.255.255 anyanyaccess-list access-list 101 101 deny deny ip ip 192.168.0.0 192.168.0.0 0.0.255.255 0.0.255.255 anyanyaccess-list access-list 101 101 deny deny ip ip 172.16.0.0 172.16.0.0 0.0.255.255 0.0.2

34、55.255 any any 阻止源地址为私有地址的所有通信流。阻止源地址为私有地址的所有通信流。access-list101denyip127.0.0.00.255.255.255any阻止源地址为回环地址的所有通信流。阻止源地址为回环地址的所有通信流。access-list101denyip224.0.0.07.255.255.255any阻止源地址为多目的地址的所有通信流。阻止源地址为多目的地址的所有通信流。access-list101denyiphost0.0.0.0any阻止没有列出源地址的通信流。阻止没有列出源地址的通信流。注：可以在外部接口的向内方向使用注：可以在外部接口的向内方

35、向使用101过滤。过滤。本讲稿第三十六页，共一百二十一页防止外部的非法探测防止外部的非法探测access-list102denyicmpanyanyecho阻止用阻止用ping探测网络。探测网络。access-list102denyicmpanyanytime-exceeded阻止用阻止用traceroute探测网络。探测网络。注：可在外部接口的向外方向使用注：可在外部接口的向外方向使用102过滤。在这里主要是阻止答复输出，过滤。在这里主要是阻止答复输出，不阻止探测进入。不阻止探测进入。本讲稿第三十七页，共一百二十一页保护路由器不受攻击保护路由器不受攻击路由器路由器:外部接口外部接口seria

36、l0的的IP为为200.200.200.1，内部接口内部接口fastethernet0的的IP为为200.200.100.1access-list101denytcpany200.200.200.10.0.0.0eq23access-list101denytcpany200.200.100.10.0.0.0eq23access-list101denyudpany200.200.200.10.0.0.0eq161access-list101denyudpany200.200.100.10.0.0.0eq161本讲稿第三十八页，共一百二十一页阻止对关键端口的非法访问阻止对关键端口的非法访问acce

37、ss-list101denytcpanyanyeq135access-list101denytcpanyanyeq137access-list101denytcpanyanyeq138access-list101denytcpanyanyeq139access-list101denyudpanyanyeq135access-list101denyudpanyanyeq137access-list101denyudpanyanyeq138access-list101denyudpanyanyeq139本讲稿第三十九页，共一百二十一页对内部网的重要服务器进行访问限制对内部网的重要服务器进行访问限制

38、允许外部用户到允许外部用户到Web服务器的向内连接请求。服务器的向内连接请求。允许允许Web服务器到外部用户的向外答复。服务器到外部用户的向外答复。允许外部允许外部SMTP服务器向内部邮件服务器的向内连接请求。服务器向内部邮件服务器的向内连接请求。允许内部邮件服务器向外部允许内部邮件服务器向外部SMTP服务器的向外答复。服务器的向外答复。允许内部邮件服务器向外允许内部邮件服务器向外DNS查询。查询。允许到内部邮件服务器的向内的允许到内部邮件服务器的向内的DNS答复。答复。允许内部主机的向外允许内部主机的向外TCP连接。连接。允许对请求主机的向内允许对请求主机的向内TCP答复。答复。本讲稿第四十

39、页，共一百二十一页针对针对sql-slammer、Netbios_Worm.Dvldr_蠕虫蠕虫的访问列表的访问列表access-list 110 deny udp any any eq 1434access-list 110 deny udp any any eq 1434access-list 110 deny tcp any any eq 445 access-list 110 deny tcp any any eq 445 access-list 110 deny tcp any any eq 5800access-list 110 deny tcp any any eq 5800ac

40、cess-list 110 deny tcp any any eq 5900access-list 110 deny tcp any any eq 5900access-list 110 deny 255 any anyaccess-list 110 deny 255 any anyaccess-list 110 deny 0 any anyaccess-list 110 deny 0 any anyaccess-list 110 access-list 110 permitipanyany本讲稿第四十一页，共一百二十一页基本访问列表实现会话过滤基本访问列表实现会话过滤使用基本的标准访问列表和

41、静态扩展访问列表实现会话过滤，使用基本的标准访问列表和静态扩展访问列表实现会话过滤，可以通过在可以通过在permit命令中使用关键字命令中使用关键字established，近似地实现会话过滤。，近似地实现会话过滤。established关键字根据是否设置了关键字根据是否设置了ACK或或RST位来过滤位来过滤TCP包包（设置了（设置了ACK或或RST位后，说明这个包不是会话的第一个包）。位后，说明这个包不是会话的第一个包）。-使用关键字使用关键字established的第一种方法只适用于的第一种方法只适用于TCP上层协议，对其它上上层协议，对其它上层协议（比如层协议（比如UDP、ICMP等等），

42、则要么允许所有输入流量，要么为每等等），则要么允许所有输入流量，要么为每个协议定义所有可能的源主机和目的主机或源端口地址和目的端口地址个协议定义所有可能的源主机和目的主机或源端口地址和目的端口地址对（它不但是一个不可管理的任务，而且还占用了对（它不但是一个不可管理的任务，而且还占用了NVRAM空间）。空间）。-这种过滤标准可以作为访问列表的一部分长期应用到接口上。这种过滤标准可以作为访问列表的一部分长期应用到接口上。本讲稿第四十二页，共一百二十一页反射访问列表与基本访问列表实现会话过滤的区别反射访问列表与基本访问列表实现会话过滤的区别使用反射访问列表实现会话过滤反射访问列表提供了一种真正意义的

43、会话过滤，使用反射访问列表实现会话过滤反射访问列表提供了一种真正意义的会话过滤，过滤规则相匹配（例如，除了检查过滤规则相匹配（例如，除了检查ACK和和RST位外，源地址、目的地位外，源地址、目的地址和端口号也要被检查），所以反射访问列表能更有力地抵御欺诈。址和端口号也要被检查），所以反射访问列表能更有力地抵御欺诈。会话过滤使用临时过滤器，在会话结束时，临时过滤器被删除，这样，就把会话过滤使用临时过滤器，在会话结束时，临时过滤器被删除，这样，就把黑客的攻击机会缩小到了一个更小的时限窗口。黑客的攻击机会缩小到了一个更小的时限窗口。本讲稿第四十三页，共一百二十一页反射访问列表的工作方式反射访问列表的

44、工作方式当一个新的当一个新的IP高层会话（如高层会话（如TCP或或UDP）从网络内部发起、并将包传送到外部网）从网络内部发起、并将包传送到外部网络时，反射访问列表被触发。触发后，反射访问列表生成一个新的临时入口，如络时，反射访问列表被触发。触发后，反射访问列表生成一个新的临时入口，如果外部来的流量是这个会话的一部分，则此入口将允许它进入网络内部，如果不果外部来的流量是这个会话的一部分，则此入口将允许它进入网络内部，如果不是会话的一部分，则被禁止进入网络内部。是会话的一部分，则被禁止进入网络内部。例如，如果有一个例如，如果有一个TCP包从内部网络往外传送，并且这个包是包从内部网络往外传送，并且这

45、个包是TCP会话的第会话的第一个包，则将产生一个新的临时反射访问列表入口，这个入口附加在应用于一个包，则将产生一个新的临时反射访问列表入口，这个入口附加在应用于输入流量的反射访问列表上，输入流量的反射访问列表上，并具有下述特征：并具有下述特征：此入口总是一个允许（此入口总是一个允许（permit）入口。）入口。入口指定的协议与初始输出的入口指定的协议与初始输出的TCP包的协议相同。包的协议相同。本讲稿第四十四页，共一百二十一页反射访问列表的特点反射访问列表的特点反射访问列表基于上层会话信息过滤反射访问列表基于上层会话信息过滤IP包。使用反射访问列表，可以允许源自内部网包。使用反射访问列表，可以

46、允许源自内部网络的络的IP会话流量，而拒绝源自外部网络的会话流量，而拒绝源自外部网络的IP会话流量，这一任务通过反射过滤（一种会话流量，这一任务通过反射过滤（一种会话过滤）来完成。会话过滤）来完成。反射访问列表只能使用扩展的命名反射访问列表只能使用扩展的命名IP访问列表来定义。不可以使用数字名或标准命名的访问列表来定义。不可以使用数字名或标准命名的IP访访问列表或使用其它协议的访问列表来定义反射访问列表。问列表或使用其它协议的访问列表来定义反射访问列表。可以把反射访问列表和其它标准访问列表或静态访问列表结合起来使用。可以把反射访问列表和其它标准访问列表或静态访问列表结合起来使用。反射访问列表对

47、进入网络的外部分组有更强的控制能力。反射访问列表对进入网络的外部分组有更强的控制能力。本讲稿第四十五页，共一百二十一页反射访问列表的特点反射访问列表的特点反射访问列表和其它访问列表有许多相似之处。反射访问列表包含了用反射访问列表和其它访问列表有许多相似之处。反射访问列表包含了用于定义允许于定义允许IP包规则的条件语句（入口），这些入口按次序求值，当出现包规则的条件语句（入口），这些入口按次序求值，当出现一个匹配时，其它入口便不再求值。一个匹配时，其它入口便不再求值。反射访问列表也与其它类型的访问列表存在一些重要的差异。反射访问反射访问列表也与其它类型的访问列表存在一些重要的差异。反射访问列表只

48、包含临时入口，这些入口在新的会话开始（有一个输出包）时创列表只包含临时入口，这些入口在新的会话开始（有一个输出包）时创建，并在会话结束时删除。建，并在会话结束时删除。反射访问列表自身并不直接应用到接口，而是嵌套地通过扩展命名反射访问列表自身并不直接应用到接口，而是嵌套地通过扩展命名IP访问访问列表应用到接口。由于嵌套的原因，反射访问列表的最后不存在隐含的列表应用到接口。由于嵌套的原因，反射访问列表的最后不存在隐含的“拒绝所有流量（拒绝所有流量（DenyAllTraffic）”语句。语句。本讲稿第四十六页，共一百二十一页反射访问列表的配置反射访问列表的配置ipaccess-listextende

49、dname对于外部接口：指定输出访问列表对于外部接口：指定输出访问列表对于内部接口：指定输入访问列表对于内部接口：指定输入访问列表permitprotocolanyanyreflectnametimeoutseconds使用反射使用反射permit入口定义反射访问列表，为每个入口定义反射访问列表，为每个IP上层协议重复这个步骤，例如，上层协议重复这个步骤，例如，用户既可为用户既可为TCP会话、也可为会话、也可为UDP会话定义反射过滤。可以在多个协议中使用相会话定义反射过滤。可以在多个协议中使用相同的名字。同的名字。ipaccess-groupnameout或或ipaccess-groupnam

50、ein对于外部接口：把扩展访问列表应用于接口的输出型流量对于外部接口：把扩展访问列表应用于接口的输出型流量对于内部接口：把扩展访问列表应用于接口的输入型流量对于内部接口：把扩展访问列表应用于接口的输入型流量本讲稿第四十七页，共一百二十一页反射访问列表的配置反射访问列表的配置evaluatename增加一个指向反射访问列表的入口，为先前定义了名字的每个反射访问增加一个指向反射访问列表的入口，为先前定义了名字的每个反射访问列表都增加一个入口列表都增加一个入口ipreflexive-listtimeoutseconds更改临时访问列表入口的全局超时值（没有会话数据流后多常时间内，反射访问更改临时访问