【正文】 自反 ACL配置示例背景允許內(nèi)部用戶 不允許任何外部發(fā)起的網(wǎng)絡(luò)訪問進(jìn)入 172網(wǎng)絡(luò)用戶至上 用心服務(wù)自反 ACL配置示例ip reflexivelist timeout 1200interface f0/0 ip address ip accessgroup inboundfilters inip accessgroup outboundfilters out ip accesslist extended outboundfilterspermit ip any any reflect tcptraffic xip accesslist extended inboundfiltersevaluate tcptraffic x deny ip any any用戶至上 用心服務(wù)CBAC— 功能建立動(dòng)態(tài)擴(kuò)展 ACL項(xiàng)對(duì)自反訪問表的功能增強(qiáng)支持多通道應(yīng)用程序的動(dòng)態(tài)訪問控制能夠基于上層信息進(jìn)行檢測(cè)進(jìn)行智能過濾操作可以安全處理大量應(yīng)用用戶至上 用心服務(wù)CBAC可以安全處理的應(yīng)用單、多通道的 TCP、 UDPCuSeeme FTP JavaNetshow Unix r命令Realaudio/realvedio RpcSmtp Sql*Stream works TFTPVDOLive用戶至上 用心服務(wù)CBAC的特征檢查 TCP中的序列號(hào)檢查應(yīng)用層信息的特定協(xié)議多通道 ACL支持JAVA阻塞拒絕服務(wù)保護(hù)和檢測(cè)實(shí)時(shí)警告和審核跟蹤用戶至上 用心服務(wù)CBAC的弱點(diǎn)只檢測(cè) TCP和 UDP報(bào)文以路由器為源和目的地址的報(bào)文不檢測(cè)不能夠準(zhǔn)確檢測(cè)加密報(bào)文中的信息對(duì)系統(tǒng)性能有沖擊，每個(gè)連接大約使用 600個(gè)字節(jié)的存儲(chǔ)空間用戶至上 用心服務(wù)CBAC的工作過程外出的報(bào)文到達(dá)路由器，報(bào)文被外出的訪問表檢測(cè) CBAC檢測(cè)報(bào)文，并將該報(bào)文的信息記錄在狀態(tài)表中，狀態(tài)表中所記錄的信息包源和目的地址，以及 TCP和 UDP端口號(hào) CBAC在訪問表中為返回的流量建立臨時(shí)的訪問表項(xiàng)，該訪問表項(xiàng)將基于所使用的應(yīng)用程序而改變，臨時(shí)表項(xiàng)將被放在接受返回流量的接口上返回報(bào)文到達(dá)路由器接口，必要時(shí) CBAC將修改狀態(tài)表和向內(nèi)的訪問表當(dāng)連接完成時(shí)，狀態(tài)表和向內(nèi)訪問表中的表項(xiàng)被清除，對(duì)于TCP，這些表項(xiàng)將會(huì)在客戶和服務(wù)器之間交換一個(gè)正常的 FIN后被清除，對(duì)于 UDP，則具有可以配置的不活躍超時(shí)值。用戶至上 用心服務(wù)CBAC的應(yīng)用環(huán)境標(biāo)準(zhǔn) TCP和 UDP連接 多媒體應(yīng)用 Oracle 應(yīng)用支持用戶至上 用心服務(wù)CBAC的配置步驟選擇要配置 CBAC的接口在接口上配置訪問表配置超時(shí)和門檻值定義檢測(cè)規(guī)則應(yīng)用檢測(cè)規(guī)則用戶至上 用心服務(wù)CBAC的配置選擇要配置 CBAC的接口選擇要配置的內(nèi)部接口和外部接口一個(gè)內(nèi)部接口和一個(gè)外部接口，則將 CBAC應(yīng)用到外部接口上如果在兩個(gè)方向上配置 CBAC，則應(yīng)該首先在一個(gè)方向上配置 CBAC，再在另一個(gè)接口上獨(dú)立配置用戶至上 用心服務(wù)CBAC的配置配置訪問表CBAC只能檢查 TCP和 UDP報(bào)文，訪問表不能包含非 TCP、 UDP協(xié)議的控制用戶至上 用心服務(wù)CBAC的配置配置超時(shí)和門檻值ip inspect tcp synwaittime seconds 30ip inspect tcp finwaittime seconds 5ip inspect tcp idletime seconds 3600ip inspect udp idletime seconds 30ip inspect dnstimeout seconds 5ip inspect maxinplete high number 500ip inspect maxinplete low number 400ip inspect oneminute high number 500ip inspect oneminute low number 400ip inspect tcp maxinplete host number blocktime minutes 0用戶至上 用心服務(wù)CBAC的配置定義檢測(cè)規(guī)則定義 RPC檢測(cè)規(guī)則格式ip accesslist 199 {deny | permit} source [sourcewildcard]ip inspect name inspectionname rpc programnumber number [waittime minutes] [timeout seconds]定義 JAVA檢測(cè)規(guī)則格式ip inspect name inspectionname [javalist accesslist] [timeout seconds]用戶至上 用心服務(wù)CBAC的配置通用的 TCP和 UDP檢測(cè)規(guī)則定義格式 ip inspect name inspectionname tcp [timeout seconds] ip inspect name inspectionname udp [timeout seconds]用戶至上 用心服務(wù)CBAC配置應(yīng)用檢測(cè)規(guī)則應(yīng)用到某一個(gè)接口中：ip inspect inspectionname {in | out}用戶至上 用心服務(wù)CBAC配置示例配置背景：允許內(nèi)部用戶 TCP、UDP的網(wǎng)絡(luò)服務(wù) ,而不允許任何訪問進(jìn)入 172網(wǎng)絡(luò)。ip inspect name myfw1 cuseeme timeout 3600 ip inspect name myfw1 ftp timeout 3600 ip inspect name myfw1 javalist 51 timeout 3600 Ip inspect name myfw1 rcmd timeout 3600 ip inspect name myfw1 realaudio timeout 3600 ip inspect name myfw1 smtp timeout 3600 ip inspect name myfw1 tftp timeout 30 ip inspect name myfw1 udp timeout 15 ip inspect name myfw1 tcp timeout 3600 interface Ether0 ip address ip inspect myfw1x in 用戶至上 用心服務(wù)TCP連接監(jiān)控技術(shù) –防范 TCPSYN flood攻擊TCP連接監(jiān)視（ TCP inspect） TCP攔截 ?。?TCP interept） 用戶至上 用心服務(wù) TCP連接監(jiān)視（ TCP inspect） 用戶至上 用心服務(wù)TCP攔截 用戶至上 用心服務(wù)CISCO路由器 TCP攔截配置1. 使能 TCP Intercept 2. 設(shè)置 TCP Intercept工作模式 3. 設(shè)置 TCP Intercept Drop Mode 4. 改變 TCP Intercept 定時(shí)器值5. 改變 TCP Intercept 主動(dòng)門檻值用戶至上 用心服務(wù)TCP攔截配置使能 TCP攔截accesslist accesslistnumber {deny | permit} tcp any destination destinationwildcardip tcp intercept list accesslistnumber用戶至上 用心服務(wù)TCP攔截配置設(shè)置 TCP Intercept工作模式 ip tcp intercept mode {intercept | watch}設(shè)置 TCP Intercept Drop Mode ip tcp intercept dropmode {oldest | random}用戶至上 用心服務(wù)TCP攔截配置改變 TCP Intercept 定時(shí)器值ip tcp intercept watchtimeout secondsip tcp intercept finrsttimeout secondsip tcp intercept connectiontimeout seconds改變 TCP Intercept 主動(dòng)門檻值 (默認(rèn)情況下為 900 1100)ip tcp intercept maxinplete low numberip tcp intercept maxinplete high numberip tcp intercept oneminute low numberip tcp intercept oneminute high number用戶至上 用心服務(wù)TCP攔截配置示例監(jiān)視所有到 TCP連接IP tcp intercept list 101Ip tcp intercept mode watchInterface e 0Ip address Ip accesslist 101 permit tcp any host 用戶至上 用心服務(wù)監(jiān)視和維護(hù) TCP截取顯示尚未完成的和已經(jīng)建立的連接 Show tcp intercept connections顯示 TCP截取統(tǒng)計(jì)信息 Show tcp intercept statistics用戶至上 用心服務(wù)實(shí)驗(yàn) 3Inter用戶至上 用心服務(wù)實(shí)驗(yàn) 3場(chǎng)景描述辦公網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備： C2600 二臺(tái)主機(jī)設(shè)備： 20臺(tái) windows， 4臺(tái) Unix網(wǎng)絡(luò)業(yè)務(wù)： Web 、 FTP server、 SMTP Server、視頻會(huì)議安全投入：今年沒有安全方面的預(yù)算管理要求：上班時(shí)間不允許員工上 ，但是可以MSN歷史安全事件： 04年 1月， FTP Server受到 Syn－flood攻擊用戶至上 用心服務(wù)謝謝！用戶至上 用心服務(wù)演講完畢，謝謝觀看！