【文章內(nèi)容簡(jiǎn)介】 ；? 結(jié)合強(qiáng)大的 ACL 命令，用于自身以及網(wǎng)絡(luò)的防攻擊，支持標(biāo)準(zhǔn)訪問(wèn)控制列表、擴(kuò)展的訪問(wèn)控制列表、 動(dòng)態(tài)訪問(wèn)列表、自反訪問(wèn)列表、基于時(shí)間的訪問(wèn)控制列表、基于上下文的訪問(wèn)控制列表，從而保證了強(qiáng)大的防攻擊能力；? 支持黑洞路由；? 支持源路由檢查。對(duì) QOS 屬性的說(shuō)明如下：Cisco 設(shè)備通過(guò)配置 QOS 屬性具有一定的自動(dòng)攻擊檢測(cè)和防范機(jī)制。如排隊(duì) 技術(shù)、 CAR、GTS，都通過(guò)對(duì)網(wǎng)絡(luò)流量控制，在一定程度上實(shí)現(xiàn)對(duì)攻擊的防護(hù)。排 隊(duì)技術(shù)允許用戶(hù)按照?qǐng)?bào)文優(yōu)先級(jí)的順序，定義報(bào)文從接口發(fā)送的順序，從而控制路由器接口的擁塞。 這樣 我們可以對(duì)已經(jīng)明確的安全流量設(shè)置高優(yōu)先級(jí)，讓這些流量?jī)?yōu)先通過(guò)，而 丟棄低 優(yōu)先級(jí)流量，在一定程度上11 / 55丟棄了一些攻擊包；CAR 是 Committed Access Rate 的簡(jiǎn)寫(xiě)，意思是：承 諾訪問(wèn)速率，允許某一設(shè)備嚴(yán)格地限制流入或流出某一接口流量數(shù)量的一種技術(shù)。CAR軟件確保只有指定數(shù)量的流量被發(fā)送或接收，而其他的流量會(huì)被丟棄。流量整形技術(shù) GTS，與 CAR 技術(shù)相似，都是通 過(guò)定義參數(shù)來(lái) 對(duì)流量分類(lèi)，并按這些分類(lèi)來(lái)管理流量。區(qū)別在于整形試圖緩沖流量，并盡可能以不丟棄報(bào)文的方式傳送它們。和 CAR 一 樣，可以定義平均位速率、一個(gè)正常突發(fā)率和一個(gè)異常突發(fā)率值。與 CAR 不同，流量整形只用在路由器接口的 輸出流量上。12 / 55第三部分設(shè)備安全配置建議設(shè)備安全配置建議是本規(guī)范重要的一個(gè)部分，該部分將對(duì) Cisco 路由器和基于 Cisco IOS 的交換機(jī)及其三層處理模塊安全配置的細(xì)節(jié)進(jìn)行描述，并對(duì)配置適用的網(wǎng)絡(luò)層次、對(duì)設(shè)備性能的影響和配置實(shí)施的注意點(diǎn)進(jìn)行詳細(xì)說(shuō)明。1 訪問(wèn)控制列表及其管理 訪問(wèn)控制列表特性訪問(wèn)列表是網(wǎng)絡(luò)防御的前沿陣地，Cisco設(shè)備支持兩種 類(lèi)型的訪問(wèn)控制列表：標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表。標(biāo)準(zhǔn)訪問(wèn)控制列表控制基于網(wǎng)絡(luò)地址的信息流，其分配的ACL號(hào)為199和13001999；擴(kuò) 展訪問(wèn)列表通過(guò)網(wǎng)絡(luò)地址和傳輸中的數(shù)據(jù)類(lèi)型進(jìn)行信息流的控制,其分配的ACL號(hào)為100199和20222699。，可以使用命名的訪問(wèn)表，它允許用戶(hù)為訪問(wèn)表定義名稱(chēng)。 這類(lèi)訪問(wèn)表建立之后，用 戶(hù)可以刪除訪問(wèn)表的某個(gè)表項(xiàng)，而不會(huì)導(dǎo)致對(duì)整個(gè)訪問(wèn)表的刪除。但附加的表項(xiàng)仍然是增加到訪問(wèn)表的最后。對(duì)于路由器接口，一個(gè)訪問(wèn)表必須在創(chuàng)建之后應(yīng)用到某個(gè)接口上，它才能產(chǎn)生作用。因?yàn)橥ㄟ^(guò)接口的數(shù)據(jù)流是雙向的，所以 訪問(wèn) 表要應(yīng)用到接口的特定方向上，向外的方向或者向內(nèi)的方向。CISCO 設(shè)備對(duì)于不匹配任何表 項(xiàng)的數(shù)據(jù)包，默認(rèn)是拒絕其通過(guò)的操作。13 / 55 訪問(wèn)控制列表應(yīng)用Cisco訪問(wèn)控制列表提供如下應(yīng)用：標(biāo)準(zhǔn)的訪問(wèn)表：只允許過(guò)濾源地址，且功能十分有限。建立標(biāo)準(zhǔn)IP訪問(wèn)列表有兩種方式，編號(hào)方式和命名方式。擴(kuò)展訪問(wèn)列表,：用于擴(kuò)展報(bào)文過(guò)濾能力,一個(gè)擴(kuò)展的I P訪問(wèn)表允許用戶(hù)根據(jù)如下內(nèi)容過(guò)濾報(bào)文：源和目的地址、協(xié)議、源和目的端口以及在特定報(bào)文字段中允許進(jìn)行特殊位比較的各種選項(xiàng)。它的建立也支持編號(hào)方式和命名方式。動(dòng)態(tài)訪問(wèn)表（lockandkey）：能夠創(chuàng)建動(dòng)態(tài)訪問(wèn)表項(xiàng)的訪問(wèn)表。傳統(tǒng)的標(biāo)準(zhǔn)訪問(wèn)表和擴(kuò)展的訪問(wèn)表不能創(chuàng)建動(dòng)態(tài)訪問(wèn)表項(xiàng)。一旦在傳統(tǒng)訪問(wèn)表中加入了一個(gè)表項(xiàng)，除非手工刪除，該表項(xiàng)將一直產(chǎn)生作用。而在動(dòng)態(tài)訪問(wèn)表中，可以根據(jù)用戶(hù)認(rèn)證過(guò)程來(lái)創(chuàng)建特定的、 臨時(shí)的訪問(wèn)表。其工作方式是， 用戶(hù)開(kāi)啟一個(gè)到路由器的tel會(huì)話(huà)，在用戶(hù)被認(rèn)證之后，路由器關(guān) 閉tel會(huì)話(huà)，并將一個(gè)動(dòng)態(tài)訪問(wèn)表項(xiàng)置于某個(gè)訪問(wèn)表中，以允 許源地址為認(rèn)證用戶(hù)工作站地址的報(bào)文通過(guò)。在訪問(wèn)超過(guò)空閑超時(shí)或最大超時(shí)設(shè)定時(shí)，臨時(shí)的訪問(wèn)入口會(huì)被動(dòng)態(tài)地刪除。使用動(dòng)態(tài)訪問(wèn)列表必須是擴(kuò)展訪問(wèn)列表?；跁r(shí)間的訪問(wèn)表：傳統(tǒng)的訪問(wèn)表存在一個(gè)缺陷，一旦訪問(wèn)表應(yīng)用到某個(gè)接口，如果不刪除，它們就一直保持有效。 這樣，如果希望根據(jù)某一天的不同 時(shí)間、某一星期的不同天來(lái)實(shí)現(xiàn)不同的規(guī)則和策略，用戶(hù)就必須刪除當(dāng)前的訪問(wèn)表，然后創(chuàng)建新的訪問(wèn)表。使用基于 時(shí)間的訪問(wèn)表可以實(shí)現(xiàn)根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同天，或者二者的結(jié)合，來(lái)控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。 值得注意的是，Cisco7500系列路由器不支持 該功能。自反訪問(wèn)表：是擴(kuò)展的IP命名訪問(wèn)表的一個(gè)重要的功能特性，自反 訪問(wèn)表創(chuàng)14 / 55建開(kāi)啟表項(xiàng)并用于從路由器的不可信方（某個(gè)接口），在正常的操作模式下，這些開(kāi)啟表項(xiàng)并沒(méi)有啟用，即從路由器不可信方的數(shù)據(jù)包不能通過(guò)路由器，只有當(dāng)路由器的可信方向的數(shù)據(jù)包通過(guò)路由器與外部不可信設(shè)備創(chuàng)建一個(gè)會(huì)話(huà)后，這些開(kāi)啟表項(xiàng)被觸發(fā)，路由器允許不可信方對(duì)應(yīng)于該會(huì)話(huà)的返回包通過(guò)路由器，會(huì)話(huà)結(jié)束或者超時(shí)后，臨時(shí)的開(kāi)啟表項(xiàng)入口被關(guān)閉。注意的是，自 訪問(wèn)列表只支持單通道的會(huì)話(huà)，對(duì)于那些在會(huì)話(huà)過(guò)程中改變所使用端口號(hào)的應(yīng)用程序來(lái)說(shuō)，自反訪問(wèn)列表不能與之工作。如FTP是使用過(guò)程中改變端口號(hào)的TCP應(yīng)用程序，如果使用自反訪問(wèn)列表，則從可信方向不可信方發(fā)起的FTP請(qǐng)求將無(wú)法完成，必須使用被動(dòng)FTP來(lái)取代它?；谏舷挛牡脑L問(wèn)控制（ ContextBased Access Control, CBAC）：工作方式類(lèi)似于自反訪問(wèn)表，它會(huì)檢查 向外的會(huì)話(huà)，并且 創(chuàng)建臨時(shí) 開(kāi)啟表項(xiàng)來(lái)允許返回的通信報(bào)文；其不同之處在于，自反訪問(wèn)表表與傳統(tǒng)的訪問(wèn)表一樣，不能檢測(cè)高于第4層的信息，并且只支持單通道的會(huì)話(huà)， CBAC克服了自反訪問(wèn)列表的缺點(diǎn)，可以基于上層信息進(jìn)行檢測(cè)，以及可以安全地處理多通道的應(yīng)用，其支持的審查協(xié)議有FTP 、Java、RealAudio、RPC、SMTP、SQL*Net、StreamWorks、 TFTP、 VDOLive。CB A C只檢查 T C P或U D P報(bào)文。路由器只有安裝了Cisco Secure Integrated Software（CSIS）才能使用CBAC功能，可以使用show version 命令中查看軟件，必 須含有字母“O”，如IOS (tm) 2500 Software (C2500JOS 56IL)，在版本，CBAC 可運(yùn)用于 2500、2600、3600、7100和7200系列的路由器平臺(tái)上。此外，Cisco的訪問(wèn)控制列表 還大量的應(yīng)用于TCP 攔截，Cisco加密技術(shù)（CET），IPSec技 術(shù)以及各種QOS技術(shù)（如排隊(duì)技術(shù)、CAR 、GTS），從而達(dá)到攻擊防護(hù)的目的，保護(hù)設(shè)備的安全。15 / 55 實(shí)施原則訪問(wèn)控制列表的實(shí)施原則是：? 只允許合法的網(wǎng)管網(wǎng)段或網(wǎng)管和維護(hù)主機(jī)地址作為源地址發(fā)起對(duì)設(shè)備的遠(yuǎn)程連接，如 Tel、SSH、Http、SNMP、Syslog 等；? 只允許需要的協(xié)議端口能進(jìn)入（如 OSPF、BGP、RSVP 等）；? 指定設(shè)備自身發(fā)包的源地址，如 loopback IP；同時(shí)只允許在設(shè)備間使用這些地址來(lái)互相遠(yuǎn)程登錄；? 對(duì) ICMP 數(shù)據(jù)包的限制? 對(duì)非法 IP 的限制? 除此之外所有以設(shè)備端口 IP 地址為目的地址數(shù)據(jù)包都被拒收。上述要求，部分在配置實(shí)例中說(shuō)明，部分在后面的各主題中體現(xiàn)。但 ACL 的設(shè)置會(huì)可能對(duì)路由器設(shè)備性能造成影響，CISCO 的 ACL 設(shè)置過(guò)多，設(shè)備 性能會(huì)嚴(yán)重下降。對(duì)于不同設(shè)備，建議在實(shí) 施 ACL 時(shí)，要獲取相關(guān)設(shè)備提供商的建議。需要強(qiáng)調(diào)的是，對(duì)網(wǎng)絡(luò)病毒和攻擊的防范，并不能單靠路由器或交換機(jī)來(lái)完成，應(yīng)盡量保證 受管理主機(jī)及時(shí)得到系統(tǒng)加固，從源頭上減少網(wǎng)絡(luò)病毒和攻擊發(fā)生的可能性。匯聚網(wǎng)絡(luò)或核心網(wǎng)絡(luò)中，每一條鏈路上都承載大量各種各樣的流量。在此對(duì)流量進(jìn)行區(qū)分和過(guò)濾具有較大難度，也容易引發(fā)意外。而且也加大了匯聚設(shè)備或核心設(shè)備的處理壓力。建議 ACL 的設(shè)置應(yīng)盡量往網(wǎng)絡(luò)邊緣靠，如在接入層設(shè)備和全網(wǎng)出口處。這樣能起到更好的防范效果，也包 證 了網(wǎng)絡(luò)的整體轉(zhuǎn)發(fā)效能不受影響。16 / 55 配置實(shí)例 對(duì) ICMP 數(shù)據(jù)包的過(guò)濾目前網(wǎng)絡(luò)上泛濫著大量的使用 ICMP 數(shù)據(jù)包的 DoS 攻擊，如 W32/Welchia Worm。要求創(chuàng)建 ACL 來(lái)屏蔽所有的 ICMP 數(shù)據(jù)流?；诰W(wǎng)管需要和特殊要求，可以再加添高優(yōu)先級(jí)的 ACL 來(lái)允許特殊類(lèi)型或具體源/目地址的 ICMP 包通過(guò)。要求禁止 ICMP 協(xié)議的 ECHO、Redirect、Mask request；對(duì)于流出的 ICMP 流，允許 ECHO、Parameter Problem、Packet too big。同時(shí)要求對(duì) TraceRoute 數(shù)據(jù)報(bào)進(jìn)行限制?！具m用網(wǎng)絡(luò)層次】：所有設(shè)備，尤其是 CMNET 網(wǎng)各層次設(shè)備?！居绊憽浚簳?huì)對(duì)設(shè)備負(fù)荷造成影響，并造成維護(hù)不便，如無(wú)法跟蹤路由，無(wú)法ping 到設(shè)備。【具體配置】：! 對(duì) ICMP 信息的限制的訪問(wèn)控制列表Router(Config)accesslist 110 deny icmp any any echo logRouter(Config)accesslist 110 deny icmp any any redirect logRouter(Config)accesslist 110 deny icmp any any maskrequest logRouter(Config)accesslist 110 permit icmp any any Router(Config)interface eth 0/2Router(Configif) ip accessgroup 110 in! 對(duì)流出 ICMP 信息的限制的訪問(wèn)控制列表Router(Config)accesslist 111 permit icmp any any echoRouter(Config)accesslist 111 permit icmp any any ParameterproblemRouter(Config)accesslist 111 permit icmp any any packettoobigRouter(Config)accesslist 111 permit icmp any any sourcequench17 / 55Router(Config)accesslist 111 deny icmp any any logRouter(Config)interface eth 0/2Router(Configif)ip accessgroup 111 in! 對(duì)流出 TraceRoute 數(shù)據(jù)報(bào)的限制的訪問(wèn)控制列表Router(Config) accesslist 112 deny udp any any range 33400 34400 ! 對(duì)流入 TraceRoute 數(shù)據(jù)報(bào)的限制的訪問(wèn)控制列表Router(Config) accesslist 112 permit udp any any range 33400 34400 Router(Config) interface eth 0/2Router(Configif) ip accessgroup 112 in IP 欺騙的簡(jiǎn)單防護(hù)根據(jù) IANA 組織制定的說(shuō)明，要求屏蔽不 應(yīng)在 Inter 上出現(xiàn)的 IP 地址：? 過(guò)濾回環(huán)地址()；? RFC1918 私有地址；? DHCP 自定 義地址()；? 科學(xué)文檔作者測(cè)試用地址() ；? 組播地址()；? SUN 公司的古老的測(cè)試地址(。)；? 全網(wǎng)絡(luò)地址()；【注意事項(xiàng)】：在 CMNET 核心層和匯聚層網(wǎng)絡(luò)設(shè)備中不實(shí)施該建議。在私網(wǎng)（如計(jì)費(fèi)、網(wǎng)管網(wǎng)和 OA 網(wǎng)）中慎重實(shí)施該建議。【適用網(wǎng)絡(luò)層次】：接入層面，在骨干和匯聚層不建議實(shí)施。【影響】：配置后會(huì)對(duì)設(shè)備性能造成一定影響。【具體配置】：！標(biāo)準(zhǔn)的上述地址訪問(wèn)控制流表，將其應(yīng)用于端口 interface eth 0/1 18 / 55！回環(huán)地址Router(Config)accesslist 100 deny ip any log！RFC1918 私有地址Router(Config) accesslist 100 deny ip any log Router(Config) accesslist 100 deny ip any logRouter(Config) accesslist 100 deny ip any logRouter(Config) accesslist 100 deny ip any log！DHCP 自定 義地址Router(Config) accesslist 100 deny ip any log！科學(xué)文檔作者測(cè)試用地址Router(Config) accesslist 100 deny ip any log！組播地址Router(Config) accesslist 100 deny ip any ！SUN 公司的古老的測(cè)試地址(。)Router(Config) accesslist 100 deny ip any logRouter(Config) accesslist 100 deny ip any log！全網(wǎng)絡(luò)地址Router(Config) accesslist 100 deny ip any logRouter(Config) interface eth 0/1Router(Configif) ip accessgroup 100 in2 路由協(xié)議的安全性路由協(xié)議是數(shù)據(jù)網(wǎng)絡(luò)最常用的技術(shù)。大部分的路由協(xié)議都會(huì)周期發(fā)送組播或廣播 PDU 來(lái)