實(shí)驗(yàn) 6：交換器╱路由器╱防火墻之封包過濾功能設(shè)

實(shí)驗(yàn)6：交換器/路由器/防火牆

之封包過濾功能設(shè)定與操作實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作2前言前言

確保中小型的區(qū)域網(wǎng)路的安全性，可以利用交換器、路由器、防火牆等設(shè)備來達(dá)到，本章將介紹如何設(shè)定交換器/防火牆上相關(guān)的過濾機(jī)制，以下為本實(shí)驗(yàn)主要的網(wǎng)路架構(gòu)。WebServerPublicIP:9Outside9InsideCiscoSwitch3560DMZVLAN

2VLAN3CiscoASA5520VLAN4Internet3scenarioScenario

本實(shí)驗(yàn)的網(wǎng)路架構(gòu)模擬一個(gè)中小型的區(qū)域網(wǎng)路，對中小型的企業(yè)而言，我們可以使用交換器劃分出VLAN2、3、4，將VLAN2、3、4做為每個(gè)部門的區(qū)隔，企業(yè)對外的網(wǎng)頁伺服器置放於DMZ的區(qū)域中。網(wǎng)路管理者可以針對交換器及防火牆來阻隔網(wǎng)路攻擊並且管理使用者的網(wǎng)路行為。WebServerPrivateIP：0PublicIP:9Outside9InsideCiscoSwitch3560DMZ會(huì)計(jì)部門VLAN

2研發(fā)部門VLAN3CiscoASA5520管理部門VLAN4Internet實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作FirewallInterfacesFirewallInterfaces設(shè)定

防火牆基本可以劃分為三種區(qū)域。網(wǎng)路管理者規(guī)劃網(wǎng)路時(shí)可以依據(jù)這三種介面來區(qū)分安全性。Outside

防火牆唯一對外的出口。本範(fàn)例中將此介面ip設(shè)為9。DMZ與Inside都必須經(jīng)由此介面進(jìn)出。DMZ

企業(yè)對外公開的資訊規(guī)劃在此區(qū)域，例如，WebServer或是MailServer等等。Ip設(shè)為0Inside

為防火牆三種介面中，安全性最高的位置，防火牆將嚴(yán)格檢視要進(jìn)入Inside區(qū)域的封包。Ip設(shè)為。Securitylevel

level數(shù)值越高，表示安全性越高，Securitylevel另一個(gè)代表的意義是當(dāng)封包由level高的地方流向低的level，防火牆會(huì)允許通過，反之當(dāng)封包由level低的流向level高的地方時(shí)，防火牆將會(huì)deny掉其封包。

通常Outside設(shè)為0、DMZ為50、Inside為100，本實(shí)作遵循此設(shè)定。

4InsideIPaddress：Securitylevel：100DMZIPaddress：0Securitylevel：50OutsideIPaddress：9Securitylevel：0Firewall介面設(shè)定實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作FirewallInterfaces設(shè)定Firewall介面設(shè)定

在此實(shí)驗(yàn)中，防火牆設(shè)定的部分將採用ASDM來做設(shè)定。在使用ASDM之前，建議使用CommandLineInterface(CLI)的方式先將介面的IP位址設(shè)定好。其餘設(shè)定皆可使用ASDM完成。CLI設(shè)定

使用CLI設(shè)定IP位址方式如下：

進(jìn)入欲設(shè)定的界面

ciscoasa(config)#interfaceint_num

設(shè)定介面名稱

ciscoasa(config-if)#nameifname

設(shè)定介面位址

ciscoasa(config-if)#ipaddip_addnetmask

設(shè)定security-level

ciscoasa(config-if)#security-level

value5設(shè)定防火牆介面實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作FirewallInterfaces設(shè)定Firewall介面設(shè)定 ASDM對於指令不熟的管理者實(shí)為一大福音，圖形化的介面確實(shí)讓管理者感覺相當(dāng)親切，但是對於初學(xué)者而言，還是要從指令入門會(huì)好些，否則依然會(huì)對這複雜的功能弄得眼花撩亂。使用ASDM設(shè)定介面 1.先進(jìn)入Configuration模式下 2.選擇DeviceSetup 3.選擇Interfaces

以上步驟達(dá)成之後，就可以看到主畫面窗格出現(xiàn)目前的介面選項(xiàng)，接著在主窗格的右邊選擇Edit，即可編輯介面資訊。

6123Configuration>DeviceSetup>InterfacesEditintfaces實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作SwitchSwitch

為了管理上的方便以及增進(jìn)安全性，將用VLAN將整體網(wǎng)路做劃分，一共分為三個(gè)群組。在此範(fàn)例中，除了用VLAN作為部門間與部門間的區(qū)隔之外，在Switch上將實(shí)行PortSecurity，這個(gè)動(dòng)作可以避免有心人士做CAMtableoverflow與MAC

addressspoofing等等的攻擊。

Switch的部分，需要實(shí)現(xiàn)下列需求：將A、B、C三部門，分別用三個(gè)VLAN分隔開來。實(shí)行PortSecurity。

7A部門B部門C部門Switch實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作設(shè)定SwitchVLAN

建立及分割VLAN主要分為下列步驟：建立VLAN

用下列指令建立

Switch#vlandatabase

Switch(vlan)#vlanID

ID的範(fàn)圍為1~4094，VLAN

1是Cisco預(yù)設(shè)的VLAN，機(jī)器出廠時(shí)所有的Port預(yù)設(shè)為VLAN

1，VLAN1不能刪除。1002~1005也不能使用，1005~4094為Extended-range必須透過VTP來使用。設(shè)定VLAN的ipaddress

Switch(config)#interfacevlanID

Switch(config-if)#ipaddressip_addressnetmask將實(shí)體Port加入VLAN中

Switch(config)#interface

interface_number Switch(config-if-range)#switchportmodeaccess Switch(config-if-range)#switchportaccessvlanID8建立VLAN將實(shí)體的Port，加入VLAN中檢查Port配置的狀態(tài)實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作設(shè)定SwitchVLAN

規(guī)劃好VLAN之後，在本實(shí)驗(yàn)中將使用Switch作為DHCP伺服器來發(fā)送IP。在本實(shí)作中除了VLAN

1之外，VLAN2、3、4都將個(gè)別設(shè)定DHCP發(fā)送IP的range。開啟DHCP服務(wù)

Switch(config)#servicedhcp配置DHCP服務(wù)

Switch(config)#ipdhcppoolpool_name

Switch(dhcp-config)#networkip_addnetmask

Switch(dhcp-config)#default-routerip_add

Switch(dhcp-config)#dns-serverip_add

9建立VLAN實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作設(shè)定Switch10PortSecurity

執(zhí)行PortSecurity功能可以防範(fàn)CAM

TableOverflow與MAC

Spoofing的攻擊。

左圖(1)為本實(shí)作實(shí)驗(yàn)的場景:將fa0/7這個(gè)Port限制最大可使用的MAC為1個(gè)。並且設(shè)定若超過所指定的數(shù)量，Switch的動(dòng)作為Shutdown。依據(jù)圖1的建構(gòu)目前實(shí)驗(yàn)的環(huán)境。觀察PortSecurity

主機(jī)A取得IP之後，使用Showport-security，觀看CurrentAddr欄位，會(huì)顯示1，代表目前此Port有1主機(jī)存在(如左所示)。將主機(jī)B接至HUB。此時(shí)，fa0/7將會(huì)shutdown。主機(jī)A、B將無法連線。換你做做看 violation有三種方式可以設(shè)定，分別為shutdown、protect、restrict。

若與本例採用相同的架構(gòu)但使用不同的violation，其結(jié)果為何？PortSecurityFa0/7HubSwitch主機(jī)A主機(jī)B圖(1)-Port

Security實(shí)驗(yàn)ShowPortSecurity實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作NAT示意圖11WebServerPrivateIP：0Outside9InsideDMZVLAN

2/24VLAN

3/24VLAN

4/24Destination

NAT內(nèi)部網(wǎng)路主機(jī)位址9InternetNATNAT

以下為此實(shí)驗(yàn)NAT的示意圖。實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作NATNAT

本實(shí)作需要設(shè)定NAT的介面如下:Inside－＞Outside

內(nèi)部網(wǎng)路的封包要到外部網(wǎng)路時(shí)，將會(huì)進(jìn)行NAT，將位址轉(zhuǎn)換為9。 global(Outside)1interface nat(Inside)

1

DMZ＜－＞Outside DMZ中Webserver的IP為0。此部分使用staticNAT，將0靜態(tài)轉(zhuǎn)換成9。

12ASDM

NAT配置圖NAT指令設(shè)定Inside－＞OutsideGlobal(Outside)1interfacenat(Inside)

1

DMZ＜－＞Outsidestatic(DMZ,Outside)30netmask55InternetNATNATDMZ：0Inside：/169onlywww9實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作AccessrulesAccesslist

當(dāng)NAT設(shè)定完成之後，目前的網(wǎng)路架構(gòu)大致完成了，接下來的設(shè)定主要就是防火牆的過濾原則設(shè)定了。在前面有介紹過Securitylevel的作用了，因此內(nèi)部網(wǎng)路的封包要到達(dá)其他介面是被防火牆所允許的，當(dāng)然您也可以設(shè)置ACL來阻擋。而從外部網(wǎng)路欲到達(dá)內(nèi)部網(wǎng)路(包含DMZ)的封包如果沒有管理者所定義的ACL將會(huì)被防火牆所阻擋。

在本實(shí)作，需要定義的ACL如下，由於DMZ中有網(wǎng)頁伺服器，因此要設(shè)定ACL，讓外部網(wǎng)路的HTTP封包可以被DMZ接受。DMZaccesslist設(shè)定

防火牆對外的出入口只有Outside這個(gè)介面，因此我們在Outside中增加一條規(guī)則來宣告所有要去webserver的封包(目的IP為9)，允許他通過。13ASDM

Accessrules配置圖Accessrules指令設(shè)定access-listOutside_access_inline1permittcpanyhost9eqwww實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作ConfiguringFilterRulesActiveX｜java過濾

現(xiàn)在大多數(shù)的互動(dòng)式網(wǎng)頁多半都有內(nèi)嵌ActiveX或java的程式碼，這些程式碼雖然可以讓網(wǎng)頁活起來，但是卻也變成駭客可利用的工具之一?，F(xiàn)在的瀏覽器多半都會(huì)詢問使用者是否願(yuàn)意執(zhí)行這些內(nèi)嵌的程式碼，但有些惡意網(wǎng)站，會(huì)在使用者不知情的狀況自動(dòng)下載惡意程式到電腦中並執(zhí)行(如：木馬)。

面對此種威脅，可以使用防火牆來防範(fàn)，因?yàn)榉阑馉澲杏蠥ctiveX｜java特徵碼資料庫，防火牆會(huì)利用這些資料庫來比對封包是否含有ActiveX或java的程式碼，如果含有ActiveX或java則阻擋。

在本實(shí)作架構(gòu)中，左圖分別列出了使用ASDM來設(shè)定與指令的設(shè)定方式。在本例中，如果有外部網(wǎng)路使用80埠要對內(nèi)部網(wǎng)路做存取時(shí)，防火牆都會(huì)去比對是否有ActiveX的特徵碼，若有則拒絕此封包進(jìn)入內(nèi)部網(wǎng)路。

14ActiveX｜java指令設(shè)定filteractivex8000語法：filter{activex|java}

servicesrc_ipnetmaskdes_ipnetmaskASDM

ActiveX｜java設(shè)定實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作ConfiguringPolicyPolicy

我們都知道防火牆可以執(zhí)行ACL與一些應(yīng)用程式的過濾，我們也知道用這些規(guī)則，防火牆所執(zhí)行的動(dòng)作不是通過就是阻擋，這樣的方式失去了彈性，防火牆另一項(xiàng)功能可以用來識別一些特定的流量(IP位址、埠位址等)防火牆可以允許這些特定的流量進(jìn)出，並且可以制訂一套對應(yīng)的規(guī)則來有所限制(如限流)，這就是Policy最大的功能，他可以對封包做分類，讓過濾規(guī)則可以彈性的發(fā)展，針對不同的類別有不同的措施。接下來就是要學(xué)習(xí)如何來設(shè)定Policy。

用CLI設(shè)定Policy有下列三個(gè)步驟：class-mappolicy-mapservice-policy

若採用ASDM則使用ServicePolicyRuleWizard。

15Class-map將traffic做分類Policy-map對各類別採取什麼限制Service-map加入欲應(yīng)用的介面Policy設(shè)定流程實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作ConfiguringPolicy(指令設(shè)定)Class-map(指令設(shè)定) Class-map最主要的是要將traffic做分類，之後可以分別依據(jù)類別，走相應(yīng)的規(guī)則。 Class-map設(shè)定的方式如下： 1.建立並命名class-map 2.加入分類依據(jù)(如:使用ACL當(dāng)作條件式加入)

可以用來當(dāng)作分類依據(jù)有相當(dāng)多的方式，本實(shí)驗(yàn)簡單使用ACL作為分類依據(jù)來做介紹，首先本實(shí)驗(yàn)使用Policy主要的目的是要防範(fàn)SYN-flood攻擊，所以class-map要用來區(qū)別出tcp的connection。

第一步：建立條件式(ACL將所有tc1分為一類)。

第二步：建立並命名class-map，名稱可以與ACL的名稱相同，較不易混淆。

第三部：加入先前所建立的條件式。

整個(gè)設(shè)定如左圖所示。

16Class-map指令設(shè)定Pix(config)#class-maptcp_halfPix(config)#matchaccess-listtcp_halfPix(config)#access-listtcp_halfextendedpermittcpanyany實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作ConfiguringPolicy(指令設(shè)定)Policy-map

如果可以將class-map想像成是交流道的話，那麼Policy-map就是交流道上的收費(fèi)站或是普通道路的紅綠燈了。沒錯(cuò)！Policy-map就是用來對各類別採取限制的那一環(huán)。Policy-map設(shè)定方式如下： 1.建立並命名Policy-map 2.加入建立好的class-map名稱 3.設(shè)定相對應(yīng)的措施

在class-map階段我們已將所有的tcpconnection分成一類了，所以現(xiàn)在我們要將這些tcpconnection做一個(gè)審核與相對應(yīng)的措施。

左圖的Policy-map代表的是符合tcp_half這個(gè)class-map的流量，同時(shí)只能夠有1個(gè)half-open存在。

其餘相關(guān)的措施可參考ciscopreventingnetworkattacks。

/en/US/docs/security/asa/asa72/configuration/guide/protect.html

17Class-map指令設(shè)定Pix(config)#class-maptcp_halfPix(config)#matchaccess-listtcp_halfPix(config)#access-listtcp_halfextendedpermittcpanyanyPolicy-map指令設(shè)定Pix(config)#policy-maptcp_half_openPix(config-pmap)#classtcp_halfPix(config–pmap-c)#setconnectionembryonic-conn-max1實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作ConfiguringPolicy(指令設(shè)定)Service-Policy

到了Service-Policy就是整個(gè)Policy的最後一環(huán)了，當(dāng)我們將class-map與policy-map設(shè)定好之後，要將之加入欲應(yīng)用的介面，加入介面之後，整個(gè)Policy就完成了。

本實(shí)驗(yàn)將policy應(yīng)用在所有的介面，所以使用global指令，當(dāng)然也可以只加入單一個(gè)介面來使用。

18Class-map指令設(shè)定Pix(config)#class-maptcp_halfPix(config-cmap)#matchaccess-listtcp_halfPix(config)#access-listtcp_halfextendedpermittcpanyanyPolicy-map指令設(shè)定Pix(config)#policy-maptcp_half_openPix(config-pmap)#classtcp_halfPix(config–pmap-c)#setconnectionembryonic-conn-max1Policy-map指令設(shè)定ciscoasa(config)#service-policytcp_half_openglobal實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作ConfiguringPolicy(ASDM)Policy設(shè)定(使用ASDM)

相較於用指令方式設(shè)定Policy，ASDM就容易得多了，使用精靈一步一步看著視窗上的說明就可以完成整個(gè)Policy的設(shè)定。

下圖就是ServicePolicy

Rule精靈的進(jìn)入畫面，第一步要選擇的是這個(gè)Policy打算要應(yīng)用在哪個(gè)介面，第一個(gè)選項(xiàng)為個(gè)別的介面，第二個(gè)選項(xiàng)用在所有的介面。

本例中，我們Policy應(yīng)用在防火牆所有的介面，因此選擇global選項(xiàng)，當(dāng)然您也可以自己加敘述。

19實(shí)驗(yàn)6：交換器/路由器/防火牆之封包過濾功能設(shè)定與操作ConfiguringPolicy(ASDM)Policy設(shè)定(使用ASDM)

在ServicePolicy

Rule精靈的第二步即等同於使用指令建立class-map般，由下圖可以知道我們可以使用相當(dāng)多種的方法來挑選適合的類別。

Useanexistingtrafficclass選項(xiàng)代表要使用的是遷前所建立好的class-map。

在本例中，我們使用ACL作為Policy的分類依據(jù)，選擇如下圖的選項(xiàng)。

2