【正文】 iesInter用戶至上 用心服務(wù)其它方面的路由問題Austin2e0/0Host with falsified source addresse0/1ICMP echo requests to directed broadcast addressAustin1Target segmentDirected broadcasts are droppedInter禁止 ip直接廣播轉(zhuǎn)發(fā)以防范 smurf攻擊Router(Config) no ip directedbroadcast用戶至上 用心服務(wù)路由器本身保護(hù)建議啟用 SSH，廢棄 Tel及時(shí)的升級(jí) IOS軟件為路由器的配置文件作安全備份 用戶至上 用心服務(wù)使用 SSH遠(yuǎn)程登錄定義 SSH KEY 及其它屬性crypto key generate rsaip ssh timeout 60 ip ssh authenticationretries 2 應(yīng)用到具體接口line vty 0 4Login local transport input SSH 用戶至上 用心服務(wù)IOS的升級(jí)和備份 配置文件的備份建議使用 FTP代替 TFTP Router(Config)ip ftp username BushRouter(Config)ip ftp password 4tppa55w0rdRoutercopy startupconfig ftp: 用戶至上 用心服務(wù)MAC地址綁定MAC地址與 IP的綁定可以實(shí)現(xiàn)：網(wǎng)絡(luò)的訪問控制防止非法主機(jī)的接入阻止交換網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)監(jiān)聽 (是否可以通過在個(gè)人主機(jī)綁定網(wǎng)關(guān) IP地址和 MAC地址的方式阻止網(wǎng)絡(luò)監(jiān)聽？ )用戶至上 用心服務(wù)AAA認(rèn)證CISCO IOS 支持的本地登錄的 aaa認(rèn)證方式：enable Uses the enable password for authenticationKrb5 Uses Kerberos 5 for authentication krb5tel Uses Kerberos 5 Tel authentication protocol when using Tel to connect to the router. line Uses the line password for authentication local Uses the local username database for authentication localcase Uses casesensitive local username authentication none Uses no authentication. group radius Uses the list of all RADIUS servers for authentication group tacacs+ Uses the list of all TACACS+ servers for authentication 用戶至上 用心服務(wù)AAA認(rèn)證對(duì)路由器的遠(yuǎn)程登錄盡量使用 AAA認(rèn)證方式 Enables AAA globally Router(config)aaa newmodel Creates local authentication list Router(config)aaa authentication login {default | listname} method1 [method2...] Enters line configuration mode Router(config)line [aux | console | tty | vty] linenumber [endinglinenumber] Applies the authentication list to a line Router(configline)login authentication {default | listname} 用戶至上 用心服務(wù)認(rèn)證方式舉例定義在 VTY端口采用 tacacs+和 local的認(rèn)證方式Router(config)aaa newmodel Router(config) aaa authentication login listname krb5tel localRouter(configline)login authentication listname用戶至上 用心服務(wù)啟用特權(quán)級(jí)口令保護(hù)對(duì)于請(qǐng)求特權(quán) EXEC級(jí)的用戶，檢查用戶 ID和口令 aaa authentication enable default method1 [method2…]用戶至上 用心服務(wù)實(shí)驗(yàn) 1Inter用戶至上 用心服務(wù)實(shí)驗(yàn) 1情景描述：某節(jié)點(diǎn)網(wǎng)管的描述網(wǎng)絡(luò)設(shè)備： 12臺(tái) Cisco路由器， 4臺(tái) Juniper；其中 4臺(tái) Cisco路由器的 IOS版本僅為 主機(jī)設(shè)備： 22臺(tái) Unix， 8臺(tái) Windows人員：網(wǎng)絡(luò)組、主機(jī)組、監(jiān)控組業(yè)務(wù)需求：通過帶內(nèi)和帶外方式管理網(wǎng)絡(luò)設(shè)備； SNMP是必備的網(wǎng)管手段管理要求：口令必須三個(gè)月更換，不準(zhǔn)以明文方式存放；設(shè)備軟件升級(jí)需要 3周時(shí)間。安全投入：僅提供人力資源已有的安全資源：免費(fèi)的安全工具： OpenSSH， FreeRadius安全歷史事件： 03年 11月網(wǎng)絡(luò)因廣播包泛濫，網(wǎng)絡(luò)曾一度癱瘓；最近， 4臺(tái)舊版 IOS的路由器性能不穩(wěn)定，相互之間 TCP Echo和 Chargen的流量較大用戶至上 用心服務(wù)第二部分： IP訪問控制ACL概述標(biāo)準(zhǔn) ACL擴(kuò)展 ACL動(dòng)態(tài) ACL基于時(shí)間的 ACLIP會(huì)話層 ACL（自反）contextbased ACL（ CBAC）用戶至上 用心服務(wù) ACL概述ACL定義ACL作用ACL應(yīng)用范圍ACL優(yōu)點(diǎn)ACL分類ACL工作流程ACL標(biāo)識(shí)用戶至上 用心服務(wù)ACL定義定義 ACL是一個(gè) 有序 的語句集，它通過匹配報(bào)文中信息與訪問表參數(shù)，來 允許 通過或 拒絕 報(bào)文通過某個(gè)接口。用戶至上 用心服務(wù)ACL作用ACL的作用 其目的就是實(shí)現(xiàn)一種訪問策略，但它還支持其他一些功能，如實(shí)現(xiàn)流量控制等 .用戶至上 用心服務(wù)ACL的應(yīng)用范圍路由轉(zhuǎn)發(fā)的包過濾路由信息接受的過濾再分布路由的過濾TCP攔截流量修正的流量過濾流量整形的流量過濾DDR路由的流量過濾……用戶至上 用心服務(wù)關(guān)于 ACL依據(jù)一些包頭信息和特征位執(zhí)行動(dòng)作：允許或拒絕包通過其接口每種類型的 ACL工作方式均不同，功能也有差別，檢查包的深度也不一樣包過濾會(huì)占用 CPU和內(nèi)存等資源，所以會(huì)對(duì)路由器性能有影響開啟路由器的 flow功能會(huì)大大減輕 ACL對(duì)路由器性能影響用戶至上 用心服務(wù)ACL的優(yōu)點(diǎn)成本低，易于實(shí)現(xiàn)、功能強(qiáng)大、應(yīng)用范圍廣無設(shè)備維護(hù)需要在沒有防火墻的地方，其重要性更加突出。用戶至上 用心服務(wù)訪問控制列表類型ACL類型標(biāo)準(zhǔn) ACL擴(kuò)展 ACL動(dòng)態(tài) ACL基于時(shí)間的 ACL IP會(huì)話層 ACL（自反） contextbased ACL用戶至上 用心服務(wù)訪問控制列表類型無狀態(tài)的報(bào)文過濾基于狀態(tài)的報(bào)文過濾用戶至上 用心服務(wù)無狀態(tài)報(bào)文過濾將每一個(gè)報(bào)文作為一個(gè)單獨(dú)的實(shí)體 ,無法檢測出一個(gè)報(bào)文是否是某個(gè)已有的上層對(duì)話的一部分有限的信息，不能保證高層協(xié)議的安全標(biāo)準(zhǔn)、擴(kuò)展等方式的 ACL屬于無狀態(tài)報(bào)文過濾用戶至上 用心服務(wù)基于狀態(tài)的報(bào)文過濾基于狀態(tài)的報(bào)文過濾能夠識(shí)別連接會(huì)話的狀態(tài)，并能夠基于會(huì)話狀態(tài)建立和應(yīng)用 ACL控制。會(huì)話正在建立，從哪個(gè)方向建立會(huì)話建立和連接的時(shí)間、會(huì)話建立個(gè)數(shù)、等待建立和關(guān)閉等單和多通道網(wǎng)絡(luò)應(yīng)用的識(shí)別和建立連接是否為安全連接，是否為安全區(qū)域發(fā)起的連接的數(shù)據(jù)包CBAC//RACL具備的特性用戶至上 用心服務(wù)ACL 檢查規(guī)則順序匹配，找到匹配的第一條規(guī)則，則退出。每一個(gè) ACL 都會(huì)隱含一條語句 “deny all”:accesslist xxx deny ip any any具體的規(guī)則通常必須放在前面增加一條語句都是添加到最后用戶至上 用心服務(wù)ACL的方向性Austin1s0/0 e0/0e0/1Inter In InInOutOutOut用戶至上 用心服務(wù)RoutingLogicPermitnoneIPACL BitBucketDeny用戶至上 用心服務(wù)ACL標(biāo)識(shí)通過數(shù)字標(biāo)識(shí)通過名字標(biāo)識(shí)（只針對(duì) IP標(biāo)準(zhǔn)和 IP擴(kuò)展）用戶至上 用心服務(wù)數(shù)字訪問表數(shù)字訪問表使用數(shù)字來標(biāo)識(shí) ACL不能刪除訪問表中的指定項(xiàng)ACL的數(shù)量有限制，如下：Accesslist listnumber permit/deny sourceaddress destinationaddress option199 標(biāo)準(zhǔn) IP 存取列表101199 擴(kuò)展 IP存取列表200299 以太網(wǎng)類型代碼700799 以太網(wǎng)地址800899 標(biāo)準(zhǔn) IPX存取列表900999 擴(kuò)展 IPX存取列表13001999 標(biāo)準(zhǔn) IP 存取列表 (序號(hào)擴(kuò)展 )20232699 擴(kuò)展 IP存取列表 (序號(hào)擴(kuò)展 )……………………用戶至上 用心服務(wù)命名訪問表命名 ACL使用名字來識(shí)別 ACL只支持 IP ACL，可以刪除訪問表中指定的表項(xiàng)對(duì) ACL的數(shù)量沒有限制使用你定義的名字代替 NAME，如：Ip accesslist standard testingpermit permit IP accesslist extended boringpermit any用戶至上 用心服務(wù)標(biāo)準(zhǔn) IP ACL標(biāo)準(zhǔn) IP訪問表只能對(duì) IP包的源地址進(jìn)行過濾必須將標(biāo)準(zhǔn)訪問表應(yīng)用到離目標(biāo)最近的地方用戶至上 用心服務(wù)標(biāo)準(zhǔn) ACL的應(yīng)用限制虛擬終端訪問限制 SNMP協(xié)議過濾路由協(xié)議用戶至上 用心服務(wù)標(biāo)準(zhǔn) IP