【正文】 邊界路由加固在Gateway網(wǎng)關(guān)路由的s0/0口放置。地址欺騙的可以發(fā)生在外網(wǎng)對內(nèi)網(wǎng)的攻擊，也可以是內(nèi)部PC被惡意操控進(jìn)行從內(nèi)部發(fā)起的欺騙攻擊。Core1(config)ip inspect name NetMag tcp timeout 30Core1(config)ip inspect name NetMag udp timeout 5Core1(config)ip inspect name NetMag icmp timeout 10Core1(config)ip inspect name NetMag telnet timeout 60為了減輕交換機(jī)負(fù)擔(dān)，只有網(wǎng)管部門的流量從普通部門VLAN出去的時候，才建立相關(guān)狀態(tài)表，所以把IP Inspect應(yīng)用在普通部門VLAN虛接口的出站方向。通過在流量向上配置IP Inspect列表，允許為受允許會話放回流量和附加數(shù)據(jù)連接，打開這些通路?；谏舷挛牡脑L問控制協(xié)議（CBAC）通過檢查通過IOS防火墻的流量來發(fā)現(xiàn)＆管理TCP和UDP的會話狀態(tài)信息。網(wǎng)管部的訪問限制網(wǎng)管部門負(fù)責(zé)對整個企業(yè)網(wǎng)絡(luò)的管理和維護(hù)，哪個部門哪臺PC是誰使用，通過網(wǎng)管軟件都能掌握得一清二楚，并且對于普通的軟件故障，能夠通過遠(yuǎn)程控制來實(shí)現(xiàn)維修，這樣就需要網(wǎng)管部能訪問整個企業(yè)網(wǎng)絡(luò)。在部門單位（包括會議室、不包括網(wǎng)管部）VLAN虛接口上配置ACL，達(dá)到相互之間不能訪問，這里以VLAN10為例，繼續(xù)上一款的配置。Core1(config)ip accesslist extended cvlan10Core1(configextnacl)permit udp any any eq bootpsCore1(configextnacl)permit udp any any eq bootpcCore1(configextnacl)permit ip Core1(configextnacl)permit ip 為了對服務(wù)器的保護(hù)，還應(yīng)該限制到到達(dá)服務(wù)器的具體協(xié)議端口做限制，不過這里可以從服務(wù)器主機(jī)下手，關(guān)閉不需要的服務(wù)，至開啟服務(wù)相關(guān)的端口。 訪問控制，各VLAN都有不同的權(quán)限限制，并且從實(shí)際公司運(yùn)作上考慮，這里將增添幾項訪問權(quán)限，全部訪問控制具體為：（1）內(nèi)網(wǎng)訪問控制：普通部門單位之間不能相互訪問全部部門能訪問服務(wù)器群和外網(wǎng)網(wǎng)管部門能訪問整個公司的VLAN（單向發(fā)起連接）服務(wù)器不會主動向網(wǎng)絡(luò)發(fā)起連接（除/FTP）外訪客廳VLAN只能訪問外網(wǎng)服務(wù)器群和外網(wǎng)（2）外網(wǎng)訪問控制：通過VPN接入，只能訪問內(nèi)部服務(wù)器群外網(wǎng)用戶只能訪問外部服務(wù)器的相關(guān)服務(wù)對服務(wù)器群的訪問限制全部部門能訪問服務(wù)器群（包括內(nèi)網(wǎng)服務(wù)器群、外網(wǎng)服務(wù)器群）和外網(wǎng)網(wǎng)絡(luò)。本節(jié)本著CIA三元組原則，對企業(yè)網(wǎng)進(jìn)行安全的加固，從最基礎(chǔ)的訪問控制、防止欺騙等，到一些高級的安全技術(shù)特征，是本設(shè)計的企業(yè)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)安全達(dá)到最優(yōu)化。Cisco提出的網(wǎng)絡(luò)安全的核心原則成為CIA三元組——機(jī)密性（confidentiality）、完整性（integrity）、可用性（availability），是目前最簡單、適用范圍最廣的安全模型。我們有許多防御措施選擇，如安裝防病毒軟件、進(jìn)行訪問控制、數(shù)據(jù)加密傳輸?shù)取ATT配置因為在Sitetosite VPN配置中，在Gateway網(wǎng)關(guān)路由器上已經(jīng)把IPsec VPN所使用的到端口映射了出去，所以這里只需在Gateway網(wǎng)關(guān)路由器把用于控制NAT地址轉(zhuǎn)換的ACL上增加一條條目，用于免除VPN連接的轉(zhuǎn)換。參數(shù)填寫完畢，按“Save”保存。FW(config) accesslist split standard permit FW(config) grouppolicy vpnclient internalFW(config) grouppolicy vpnclient attributes FW(configgrouppolicy) splittunnelpolicy tunnelspecified FW(configgrouppolicy) splittunnelnetworklist value split以下配置剩余必要命令：FW(config) crypto ipsec transformset remote esp3des espshahmacFW(config) crypto dynamicmap dyremote 10 set transformset remoteFW(config) crypto map l2l 20 ipsecisakmp dynamic dyremoteFW(config) crypto map l2l interface outsideFW(config) tunnelgroup vpnclient type ipsecra FW(config) tunnelgroup vpnclient generalattributes FW(configtunnelgeneral) authenticationservergroup LOCAL FW(configtunnelgeneral) defaultgrouppolicy vpnclient FW(configtunnelgeneral) addresspool vpnpool FW(configtunnelgeneral) exitFW(config) tunnelgroup vpnclient ipsecattributes FW(configtunnelipsec) presharedkey alex_gdin客戶端軟件設(shè)置打開Cisco VPN Client軟件之后，點(diǎn)擊軟件快捷欄的“New”圖標(biāo)即可定義需要的參數(shù)。FW(config) ip local pool vpnpool mask 以下定義分離隧道。以下是定義地址池。RemoteVPN還會為接入的用戶分配一個內(nèi)網(wǎng)的IP地址，通過這個地址訪問公司內(nèi)部資源。在RemoteVPN上必須定義好遠(yuǎn)程用戶接入后能夠訪問的地址，稱為分離隧道。遠(yuǎn)程工作者通過RemoteVPN獲取一個內(nèi)網(wǎng)的IP地址，通過這個地址訪問公司內(nèi)部資源，提供了VPN網(wǎng)絡(luò)的高拓展性。遠(yuǎn)程工作者在自己的電腦上安裝一個“Cisco VPN Client”的軟件，稍微設(shè)置一下參數(shù)，即可連接上配置好相關(guān)參數(shù)的服務(wù)端，建立一條安全加密的虛擬隧道。 移動辦公VPN配置為了向遠(yuǎn)距離工作者或工作在外的員工所提供的遠(yuǎn)程訪問類型的VPN，我們使用RemoteVPN解決方案。IPsec VPN使用的是UDP 500和4500端口，必須把這兩個端口映射出公網(wǎng)，才能讓外網(wǎng)連接上防火墻來建立VPN。在CISCO防火墻上默認(rèn)開啟了NATT功能，因此不需要我們再手動配置。NATT配置正常的IPsec VPN 是不能穿越PAT的，CISCO的IPsec : NATT，ipsec over udp，ipsec over tcp，應(yīng)用層網(wǎng)關(guān)。命令如下：FW(config) accesslist l2l per ip FW(config) crypto ipsec transformset l2l esp3des espmd5hmac FW(config) crypto dynamicmap dyl2l 10 set transformset l2lFW(config) crypto dynamicmap dyl2l 10 set reverserouteFW(config) crypto map vpn 10 ipsecisakmp dynamic dyl2lFW(config) crypto map vpn interface outsideFW(config) crypto isakmp policy 10FW(configisakmppolicy) authentication preshareFW(configisakmppolicy) ncryption 3desFW(configisakmppolicy) hash md5FW(configisakmppolicy) group 2FW(configisakmppolicy)crypto isakmp enable outsideFW(config) tunnelgroup DefaultL2LGroup ipsecattributesFW(configtunnelipsec) presharedkey gdin_alex（2）在分支機(jī)構(gòu)網(wǎng)關(guān)路由配置IPsec VPN。 端到端VPN設(shè)計拓?fù)銿PN配置首先以正常情況下的IPsec VPN配置，先忽略Gateway網(wǎng)關(guān)的NAT轉(zhuǎn)換。分支公司用網(wǎng)關(guān)路由器作為VPN網(wǎng)關(guān)，總部既用ASA作為VPN網(wǎng)關(guān)。Sitetosite IPsec VPN設(shè)計假設(shè)分支公司是電信ADSL接入互聯(lián)網(wǎng)，其公網(wǎng)IP并不是固定的，因而每次重新獲得IP的時候，VPN隧道都要重新建立，并且只能由分支公司主動發(fā)起VPN連接。一旦IPSEC建立加密隧道后，就可以實(shí)現(xiàn)各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等，每個傳輸直接對應(yīng)到VPN網(wǎng)關(guān)之后的相關(guān)服務(wù)器上。將使用端對端IPsec VPN來實(shí)現(xiàn)分支結(jié)構(gòu)的VPN接入業(yè)務(wù)，建立一條安全的隧道，在總部和分支之間傳輸業(yè)務(wù)信息；而對于臨時移動辦公，將選擇使用RemoteVPN來建立VPN，訪問內(nèi)網(wǎng)資源。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。遠(yuǎn)程接入方法應(yīng)該允許遠(yuǎn)程用戶就像直接連接到網(wǎng)絡(luò)上一樣并使用相同的協(xié)議訪問某個網(wǎng)絡(luò)。有線傳輸接入包括撥號接入、ISDN接入、ADSL接入和Cable Modem接入、軟件接入、VPN接入、SDH接入； 、WiFi和Blue Tooth等。更多的安全防護(hù)將在安全加固模塊進(jìn)行介紹和配置。以下為增加對HTTP和ICMP協(xié)議的Inspect。ASA上全局上有默認(rèn)Policymap缺省定義，里面的定義條目非常有用，我們只需要在默認(rèn)Policymap上增減自己需要的流量策略即可。Inspection技術(shù)是里用MPF（模塊化策略架構(gòu)）來進(jìn)行配置。內(nèi)網(wǎng)出站流量控制Cisco防火墻除了ASA算法用來限制流量進(jìn)出之外，還有就是Inspection技術(shù)的應(yīng)用。首先取消掉原先的ACL條目：FW(config) no accessgroup outside in interface outsideFW(config) no accesslist outside permit ip any any以下進(jìn)行對E0口進(jìn)入方向的流量進(jìn)行嚴(yán)格控制，只有經(jīng)過網(wǎng)關(guān)路由器Gateway轉(zhuǎn)換，并在DMZ區(qū)域存在的地址方能進(jìn)入。為了安全考慮，要對E0口的ACL進(jìn)行細(xì)分流量，達(dá)到外網(wǎng)能且僅能訪問DMZ區(qū)域的指定服務(wù)器和服務(wù)，而且內(nèi)網(wǎng)訪問外網(wǎng)能正確進(jìn)行，并控制好內(nèi)網(wǎng)用戶訪問DMZ區(qū)域。同時，ASA算法還可以實(shí)現(xiàn)基于策略的安全體系，例如每一個內(nèi)部系統(tǒng)和相關(guān)應(yīng)用在未經(jīng)過明確的安全配置的情況下只允許單一方向的連接(由內(nèi)部到外部)。ASA基于源和目的地地址創(chuàng)建一個會話流，同時在一個連接完成之前將其TCP序列號、TCP端口號和附帶的TCP識別標(biāo)記隨機(jī)地加入會話序列。以下為對路由器Gateway進(jìn)行配置：Gateway(config)ip accesslist extend inside2outsideGateway(configextnacl)permit ip anyGateway(configextnacl)permit ip anyGateway(configextnacl)permit ip anyGateway(configextnacl)permit ip anyGateway(configextnacl)permit ip anyGateway(configextnacl)permit ip anyGateway(configextnacl)permit ip anyGateway(configextnacl)permit ip anyGateway(configextnacl)exitGateway(config)ip nat inside source list inside2outside interface serial 0/0 overload 防火墻配置ASA算法是ASA/PIX防火墻安全驗證算法的核心。要對部門員工的內(nèi)網(wǎng)地址進(jìn)行轉(zhuǎn)換，但要把內(nèi)網(wǎng)服務(wù)器、公共服務(wù)器、內(nèi)網(wǎng)路由地址、管理VLAN地址作例外，它們并不可以進(jìn)行地址轉(zhuǎn)換進(jìn)去公網(wǎng)網(wǎng)絡(luò)。公共服務(wù)器與全局地址/。Gateway(configif)ip address Gateway(configif)encapsulation hdlcGateway(configif)no shutdownGateway(configif)exitGateway(config)ip route