防火墻安全規(guī)則和配置

1、網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，有效的安全策略或方案的制定，是網(wǎng)絡(luò)信息安全的首要目標(biāo)。網(wǎng)絡(luò)安全技術(shù)主要有，認(rèn)證授權(quán)、數(shù)據(jù)加密、訪問(wèn)控制、安全審計(jì)等。而提供安全網(wǎng)關(guān)服務(wù)的類型有：地址轉(zhuǎn)換、包過(guò)濾、應(yīng)用代理、訪問(wèn)控制和D oS防御。本文主要介紹地址轉(zhuǎn)換和訪問(wèn)控制兩種安全網(wǎng)關(guān)服務(wù)，利用 cisco路由器對(duì)ISDN撥號(hào)上網(wǎng)做安全規(guī)則設(shè)置。試驗(yàn)環(huán)境是一臺(tái)有fir ewall 版本IOS的cisco2621 路由器、一臺(tái)交換機(jī)組成的局域網(wǎng)利用ISDN撥號(hào)上網(wǎng)。一、地址轉(zhuǎn)換我們知道，Internet 技術(shù)是基于IP協(xié)議 的技術(shù)，所有的信息通信都是通過(guò)IP包來(lái)實(shí)現(xiàn)的，每一個(gè)設(shè)備需要進(jìn)行通信都必須有一個(gè)唯一的IP地址

2、。因此，當(dāng)一個(gè)網(wǎng)絡(luò)需要接入Inte rnet的時(shí)候，需要在Internet TOC o 1-5 h z 上進(jìn)行通信的設(shè)備就必須有一個(gè)在全球Internet網(wǎng)絡(luò)上唯一的地址。當(dāng)一個(gè)網(wǎng)絡(luò)需要接入Internet 上使用時(shí)，網(wǎng)絡(luò)中的每一臺(tái)設(shè)備都有一個(gè)Internet 地址，這在實(shí)行各種 Internet應(yīng)用上當(dāng)然是最理想不過(guò)的。但是，這樣也導(dǎo)致每一個(gè)設(shè)備都暴露在網(wǎng)絡(luò)上，任何人都可以對(duì)這些設(shè)備攻擊，同時(shí)由于 I nternet目前采用的IPV4協(xié)議在網(wǎng)絡(luò)發(fā)展到現(xiàn)在，所剩下的可用的IP地址已經(jīng)不多了，網(wǎng)絡(luò)中的每一臺(tái)設(shè)備都需要一個(gè)IP地址，這幾乎是不可能的事情。采用端口地址轉(zhuǎn)換，管理員只需要設(shè)定一個(gè)可以用

3、作端口地址轉(zhuǎn)換的公有Internet 地址，用戶的訪問(wèn)將會(huì)映射到IP池中IP的一個(gè)端口上去，這使每個(gè)合法Internet IP可以映射六萬(wàn)多臺(tái)部網(wǎng)主機(jī)。從而隱藏部網(wǎng)路地址信息，使外界無(wú)法直接訪問(wèn)部網(wǎng)絡(luò)設(shè)備。Cisco路由器提供了幾種NAT轉(zhuǎn)換的功能：1、部地址與出口地址的對(duì)應(yīng)缺點(diǎn)：在出口地址資源稀少的情況下只能使較少主機(jī)連到internet 。2、部地址分享出口地址路由器利用出口地址和端口號(hào)以及外部主機(jī)地址和端口號(hào)作為接口。其中部地址的端口號(hào)為隨機(jī)產(chǎn)生的大于1024的，而外部主機(jī)端口號(hào)為公認(rèn)的標(biāo)準(zhǔn)端口號(hào)。這樣可以用同一個(gè)出口地址來(lái)分配不同的端口號(hào)連接任意數(shù)量的部主機(jī)到外網(wǎng)。具體配置：由于實(shí)驗(yàn)用

4、的是ISDN撥號(hào)上網(wǎng)，在 internet上只能隨機(jī)獲得出口地址，所以NAT轉(zhuǎn)換的地址池設(shè)置為 BRI 口上撥號(hào)所獲得的地址。interface FastEthernet0/0ip address 00 ip nat inside the interface connected to inside world !interface BRI0/0ip address negotiatedip nat outside the interface connected to outside networkencapsulation pppno ip split-horizondialer string

5、 163dialer load-threshold 150 inbounddialer-group 1isdn switch-type basic-net3ip nat inside source list 1 interface BRI0/0 overloadaccess-list 1 permit 553、部地址和外部地址出現(xiàn)交疊當(dāng)部和外部用同一個(gè)網(wǎng)絡(luò)段地址時(shí)，在地址沒(méi)有重復(fù)的情況下，可以同時(shí)對(duì)外接口進(jìn)行NAT轉(zhuǎn)換使之可以正常通訊。4、用一個(gè)出口地址映射部多臺(tái)主機(jī)應(yīng)用于internet上的大型有多臺(tái)主機(jī)對(duì)應(yīng)同一個(gè)系統(tǒng)的同一個(gè)出口地址?？梢杂?sh ip nat translation和de

6、bug ip nat命令來(lái)檢查 NAT的狀二、基于上下文的訪問(wèn)控制( Context-based access control-CBAC )CISCO路由器的 access-list只能檢查網(wǎng)絡(luò)層或者傳輸層的數(shù)據(jù)包，而CBAC能夠智能過(guò)濾基于應(yīng)用層的(如FTP連接信息)TCP和UDP的session； CBAC能夠在firewall access-list打開一個(gè)臨時(shí)的通道給起源于部網(wǎng)絡(luò)向外的連接，同時(shí)檢查外兩個(gè)方向的sessions 。1、工作原理TCP比如當(dāng)CBAC配置于連到internet的外部接口上，一個(gè)從部發(fā)出的數(shù)據(jù)包(telnet 會(huì)話)經(jīng)過(guò)該接口連出，同時(shí)CBAC的配置中已經(jīng)包括

7、了 t cp inspection , 將會(huì)經(jīng)過(guò)以下幾步：(1)數(shù)據(jù)包到達(dá)防火墻的外部接口(設(shè)為 s0)；(2)數(shù)據(jù)包由該接口outbound access-list檢查是否允許通過(guò)(不通過(guò)的數(shù)據(jù)包在此被丟棄，不用經(jīng)過(guò)以下步驟)；(3)通過(guò)access list檢查的數(shù)據(jù)包由CBAC檢查來(lái)決定和記錄包連接狀態(tài)信息，這個(gè)信息被記錄于一個(gè)新產(chǎn)生的狀態(tài)列表中為下一個(gè)連接提供快速通道；(4)如果CBAC殳有定義對(duì)telnet 應(yīng)用的檢查，數(shù)據(jù)包可以直接從該接口送出；(5)基于第三步所獲得的狀態(tài)信息，CBAC在s0的inbound access list中插入一個(gè)臨時(shí)創(chuàng)建的access list 入口，

8、這個(gè)臨時(shí)通道的定義是為了讓從外部回來(lái)的數(shù)據(jù)包能夠進(jìn)入；(6)數(shù)據(jù)包從 s0送出；(7)接下來(lái)一個(gè)外部的inbound數(shù)據(jù)包到達(dá)s0 ,這個(gè)數(shù)據(jù)包是先前送出的telnet 會(huì)話連接的一部分，經(jīng)過(guò) s0 口的access list 檢查，然后從第五步建立的臨時(shí)通道進(jìn)入；(8)被允許進(jìn)入的數(shù)據(jù)包經(jīng)過(guò)CBAC的檢查，同時(shí)連接狀態(tài)列表根據(jù)需要更新，基于更新的狀態(tài)信息，inbound access list臨時(shí)通道也進(jìn)行修改只允許當(dāng)前合法連接的數(shù)據(jù)包進(jìn)入；(9)所有屬于當(dāng)前連接的進(jìn)出s0 口數(shù)據(jù)包都被檢查，用以更新狀態(tài)列表和按需修改臨時(shí)通道的access list ,同時(shí)數(shù)據(jù)包被允許通過(guò)s0 口;(10)

9、當(dāng)前連接終止或超時(shí)，連接狀態(tài)列表入口被刪除，同時(shí)，臨時(shí)打開的access list 入口也被刪除。需要注意的是： 對(duì)于配置至U s0 口 outbound ip access list , accesslist必須允許所有需要的應(yīng)用通過(guò)，包括希望被CBAC檢查的應(yīng)用；但是inbound ip access list必須禁止所有需要CBAC檢查的應(yīng)用，當(dāng) CBAC被出去的數(shù)據(jù)包觸發(fā)后，會(huì)在inbound access list中臨時(shí)開放一個(gè)通道給合法的、正在傳送的數(shù)據(jù)進(jìn)入。2、CBAC可提供如下服務(wù)(1)狀態(tài)包過(guò)濾：對(duì)企業(yè)部網(wǎng)絡(luò)、企業(yè)和合作伙伴互連以及企業(yè)連接internet提供完備的安全性和強(qiáng)

10、制政策。(2) Dos檢測(cè)和抵御：CBAC通過(guò)檢查數(shù)據(jù)報(bào)頭、丟棄可疑數(shù)據(jù)包來(lái)預(yù)防和保護(hù)路由器受到攻擊。(3)實(shí)時(shí)報(bào)警和跟蹤：可配置基于應(yīng)用層的連接，跟蹤經(jīng)過(guò)防火墻的數(shù)據(jù)包，提供詳細(xì)過(guò)程信息并報(bào)告可疑行為。(4)無(wú)縫兼容性：整和防火墻和其它c(diǎn)isco IOS軟件于一體；優(yōu)化廣域網(wǎng)利用率；提供強(qiáng)大的、可升級(jí)的路由選擇etc。(5)支持VPN利用封裝了防火墻版本的cisco Ios軟件和Qos特性來(lái)保證在公共網(wǎng)絡(luò)上傳輸數(shù)據(jù)的安全性，同時(shí)節(jié)省費(fèi)用。(6)可升級(jí)配置：適用于大部分路由器平臺(tái)，cisco帶防火墻版本的 IOS可升級(jí)來(lái)滿足網(wǎng)絡(luò)帶寬和性能的需要。3、CBAC受到的限制(1)僅適用于IP數(shù)據(jù)流：

11、只有 TCP和UDP包被檢測(cè)，其它如 ICMP等不 能被CBAC檢測(cè)，只能通過(guò)基本的access lists 過(guò)濾。(2)如果我們?cè)谂渲肅BAC時(shí)重新更改 access lists ,要注意：如果access lists 禁止TFTP數(shù)據(jù)流進(jìn)入一個(gè)接口，我們將不能通過(guò)那個(gè)接 口從網(wǎng)絡(luò)啟動(dòng)路由器( netboot )。(3) CBAC忽H& ICMP unreachable 信息。(4)當(dāng) CBAC檢查FTP傳輸時(shí)，它只允許目的端口為1024 65535圍的數(shù)據(jù)通道。(5)如果FTP客戶端/服務(wù)器認(rèn)證失敗，CBACa不會(huì)打開一條數(shù)據(jù)通道。(6) IPSec和CBAC的兼容性：如果 CBAC和IP

12、Sec配置于同一臺(tái)路由器上，只要對(duì)數(shù)據(jù)包的檢查是在部網(wǎng)接口上進(jìn)行的，而數(shù)據(jù)包加密是終止在外部網(wǎng)接口上的，那么 I Psec和CBAC就能共存在該邊界路由器上。在這種方式下，檢查的是不加密的數(shù)據(jù)流。4、CBAC所需的存和性能有一些參數(shù)會(huì)影響CBAC所需的存和性能：(1) CBAC對(duì)每條連接使用 600 byte 的存；(2)在檢查數(shù)據(jù)包的過(guò)程中，CBAC使用額外的 CPU資源；(3)盡管 CBAC通過(guò)對(duì) access lists 的高效存儲(chǔ)(對(duì) access list 進(jìn)行 散列索引，然后評(píng)估該散列)來(lái)最小化其對(duì)資源的需求，它在access list檢查過(guò)程中仍要使用一定的CPU資源。5、配置C

13、BAC第一步，CBAC用timeout 和threshold值來(lái)管理會(huì)話，配置判斷是否在會(huì)話還未完全建立的時(shí)候終止連接。這些參數(shù)全局性地應(yīng)用于所有會(huì)話。具有firewall feature 的cisco router12.0以上版本的 IOS缺省是起了 IP INSPECT 抵御DoS進(jìn)攻的。當(dāng) half-open會(huì)話數(shù)量大到一定的程度往往意味著正在有DOSt擊發(fā)生或某人正在做端口掃描,CBAC既監(jiān)測(cè)half-open會(huì)話總數(shù)也監(jiān)測(cè)會(huì)話企圖建立的速率。以下是缺省配置：HpXg_1#sh ip inspect allSession audit trail is disabled （相關(guān)命令是 i

14、p inspect audit trail, 是用來(lái)打開自動(dòng)跟蹤審計(jì)功能并將信息傳送到console ，缺省是 disabled. ）Session alert is enabledone-minute thresholds are 400:500 connections（相關(guān)命令是ipinspect one-minute high 500 和 ip inspect one-minute low 400,是將引起或?qū)е侣酚善鏖_始或停止刪除half-open會(huì)話的新增未建立會(huì)話的速率，即每分鐘 500/400個(gè)half-open 會(huì)話）max-incomplete sessions thresh

15、olds are 400:500（相關(guān)命令是 ipinspect max-incomplete high 500,表示將引 起路由器開始刪除 half-open 會(huì)話的已經(jīng)存在的half-open 會(huì)話數(shù) 500個(gè)；ip inspectmax-incomplete low 400表示將導(dǎo)致路由器開始停止刪除half-open 會(huì)話的已經(jīng)存在的half-open 會(huì)話數(shù)）max-incomplete tcp connections per host is 50. Block-time 0 minute.（相關(guān)命令：ip inspect tcp max-incomplete host 50 blo

16、ck-time 0 表示將引起路由器開始丟棄到同一目的主機(jī)地址的超過(guò)50個(gè)的 half-open 會(huì)話。如果 block-time 值為0表示到某個(gè)目的主機(jī)的每條連 接請(qǐng)求，C BAC會(huì)刪除到該主機(jī)的最老的已存在的 half-open 會(huì)話，并讓該SYN包通過(guò)；如果 block-time 值大于0表示CBAC將刪除到該目的 主機(jī)的所有已存在的h alf-open 連接，并阻攔所有新的連接請(qǐng)求直到block-time 值超時(shí)）。tcp synwait-time is 30 sec（ip inspect tcp synwait-time 30: 表示路由器在阻斷會(huì)話前等待TCP會(huì)話達(dá)到連接建立狀態(tài)

17、的時(shí)間）tcp finwait-time is 5 sec（ip inspect tcp finwait-time 5:表示防火墻檢測(cè)到一個(gè)FIN標(biāo)志后仍繼續(xù)管理TCP會(huì)話的時(shí)間長(zhǎng)度）tcp idle-time is 3600 sec（ip inspect tcp idle-time 3600:在沒(méi)有TCP連接后仍繼續(xù)管理TCP會(huì)話的時(shí)間長(zhǎng)度）udp idle-time is 30 sec（ip inspect udp idle-time 30: 在 UDP會(huì)話停止后仍繼續(xù)管理UDP會(huì)話信息的時(shí)間長(zhǎng)度）dns-timeout is 5 sec （ip inspect dns-timeout 5

18、: DNS 名字查詢停止后仍繼續(xù)被管理的時(shí)間）設(shè)置timeout值可以通過(guò)丟棄超過(guò)時(shí)限的會(huì)話來(lái)有效阻止DoS攻擊釋放系統(tǒng)資源，設(shè)置 threshold值可以通過(guò)限制half-open 會(huì)話的數(shù)量來(lái)阻止D oS攻擊。CBAC提供三種 threshold 值來(lái)抵御 DOS攻擊：1、最大 half-open 的TCP或UDP會(huì)話的數(shù)量。2、基于時(shí)間的 half-open 會(huì)話數(shù)量。3、每個(gè) host可以打開的 TCP half-open 會(huì)話的數(shù)量。對(duì)于超過(guò) threshold 值的連接，CBAC會(huì)初始化舊的 half-open 連接，釋放資源接受新的要求同步的數(shù)據(jù)包。第二步：配置 access l

19、istaccess-list 101 permit icmp any any echoaccess-list 101 permit icmp any any echo-replyaccess-list 101 permit icmp any any unreachableaccess-list 101 permit icmp any any time-exceededaccess-list 101 permit icmp any any packet-too-bigaccess-list 101 permit icmp any any traceroute（以上命令允許ping包通過(guò)，主要用來(lái)

20、排錯(cuò)，如果沒(méi)有必要上述命令可以不做）access-list 101 permit any any eq smtp（允許在服務(wù)器上的安全驗(yàn)證）access-list 101 deny ip any any log（ CBAC 要求禁止其他所有進(jìn)入的ip包）第三步：根據(jù)實(shí)際環(huán)境定義一個(gè)檢查規(guī)則。ip inspect name CBAC fragment maximum 256 timeout 1 （止匕命令 12.1以后的版本出現(xiàn)，防止分段攻擊）ip inspect name CBAC smtpip inspect name CBAC ftpip inspect name CBAC httpip

21、inspect name CBAC tcp （進(jìn)入的數(shù)據(jù)包必須與先前流出的數(shù)據(jù)包有相同的源/目的地址和端口號(hào)（源和目的對(duì)調(diào)），否則就被丟棄）ip inspect name CBAC udp timeout 5（如果配置了 timeout值，那么應(yīng)答數(shù)據(jù)包是在最后的UDP請(qǐng)求包被送出后的預(yù)定時(shí)間圍收到的，就被允許通過(guò)防火墻返回)第四步：把檢查規(guī)則定義到一個(gè)接口上。interface BRI0/0 ip address negotiated ip access-group 101 in ip nat outsideip inspect CBAC out做完以上配置后，實(shí)際運(yùn)行中路由器顯示的10g如下：04:20:27:%FW-6-SESS_AUDIT_TRAIL: http session initiator(:1426) sent 656 bytes - res