防火墻安全規(guī)則和配置

......網(wǎng)絡(luò)安全是一個系統(tǒng)的概念，有效的安全策略或方案的制定，是網(wǎng)絡(luò)信息安全的首要目標(biāo)。網(wǎng)絡(luò)安全技術(shù)主要有，認證授權(quán)、數(shù)據(jù)加密、訪問控制、安全審計等。而提供安全網(wǎng)關(guān)服務(wù)的類型有：地址轉(zhuǎn)換、包過濾、應(yīng)用代理、訪問控制和DoS防御。本文主要介紹地址轉(zhuǎn)換和訪問控制兩種安全網(wǎng)關(guān)服務(wù)，利用cisco路由器對ISDN撥號上網(wǎng)做安全規(guī)則設(shè)置。試驗環(huán)境是一臺有firewall版本IOS的cisco2621路由器、一臺交換機組成的局域網(wǎng)利用ISDN撥號上網(wǎng)。一、地址轉(zhuǎn)換我們知道，Internet技術(shù)是基于IP協(xié)議的技術(shù)，所有的信息通信都是通過IP包來實現(xiàn)的，每一個設(shè)備需要進行通信都必須有一個唯一的IP地址。因此，當(dāng)一個網(wǎng)絡(luò)需要接入Internet的時候，需要在Internet上進行通信的設(shè)備就必須有一個在全球Internet網(wǎng)絡(luò)上唯一的地址。當(dāng)一個網(wǎng)絡(luò)需要接入Internet上使用時，網(wǎng)絡(luò)中的每一臺設(shè)備都有一個Internet地址，這在實行各種Internet應(yīng)用上當(dāng)然是最理想不過的。但是，這樣也導(dǎo)致每一個設(shè)備都暴露在網(wǎng)絡(luò)上，任何人都可以對這些設(shè)備攻擊，同時由于Internet目前采用的IPV4協(xié)議在網(wǎng)絡(luò)發(fā)展到現(xiàn)在，所剩下的可用的IP地址已經(jīng)不多了，網(wǎng)絡(luò)中的每一臺設(shè)備都需要一個IP地址，這幾乎是不可能的事情。采用端口地址轉(zhuǎn)換，管理員只需要設(shè)定一個可以用作端口地址轉(zhuǎn)換的公有Internet地址，用戶的訪問將會映射到IP池中IP的一個端口上去，這使每個合法InternetIP可以映射六萬多臺部網(wǎng)主機。從而隱藏部網(wǎng)路地址信息，使外界無法直接訪問部網(wǎng)絡(luò)設(shè)備。Cisco路由器提供了幾種NAT轉(zhuǎn)換的功能：部地址與出口地址的一一對應(yīng)缺點：在出口地址資源稀少的情況下只能使較少主機連到internet。部地址分享出口地址路由器利用出口地址和端口號以及外部主機地址和端口號作為接口。其中部地址的端口號為隨機產(chǎn)生的大于1024的，而外部主機端口號為公認的標(biāo)準端口號。這樣可以用同一個出口地址來分配不同的端口號連接任意數(shù)量的部主機到外網(wǎng)。具體配置：由于實驗用的是ISDN撥號上網(wǎng)，在internet上只能隨機獲得出口地址，所以NAT轉(zhuǎn)換的地址池設(shè)置為BRI口上撥號所獲得的地址。interfaceFastEthernet0/0ipaddress00ipnatinsidetheinterfaceconnectedtoinsideworld!interfaceBRI0/0ipaddressnegotiatedipnatoutsidetheinterfaceconnectedtooutsidenetworkencapsulationpppnoipsplit-horizondialerstring163dialerload-threshold150inbounddialer-group1isdnswitch-typebasic-net3ipnatinsidesourcelist1interfaceBRI0/0overloadaccess-list1permit55部地址和外部地址出現(xiàn)交疊當(dāng)部和外部用同一個網(wǎng)絡(luò)段地址時，在地址沒有重復(fù)的情況下，可以同時對外接口進行NAT轉(zhuǎn)換使之可以正常通訊。用一個出口地址映射部多臺主機應(yīng)用于internet上的大型有多臺主機對應(yīng)同一個系統(tǒng)的同一個出口地址?？梢杂胹hipnattranslation和debugipnat命令來檢查NAT的狀態(tài)。二、基于上下文的訪問控制（Context-basedaccesscontrol--CBAC）CISCO路由器的access-list只能檢查網(wǎng)絡(luò)層或者傳輸層的數(shù)據(jù)包，而CBAC能夠智能過濾基于應(yīng)用層的（如FTP連接信息）TCP和UDP的session；CBAC能夠在firewallaccess-list打開一個臨時的通道給起源于部網(wǎng)絡(luò)向外的連接，同時檢查外兩個方向的sessions。1、工作原理比如當(dāng)CBAC配置于連到internet的外部接口上，一個從部發(fā)出的TCP......數(shù)據(jù)包（telnet會話）經(jīng)過該接口連出，同時CBAC的配置中已經(jīng)包括了tcpinspection，將會經(jīng)過以下幾步：數(shù)據(jù)包到達防火墻的外部接口（設(shè)為s0）；數(shù)據(jù)包由該接口outboundaccess-list檢查是否允許通過（不通過的數(shù)據(jù)包在此被丟棄，不用經(jīng)過以下步驟）；通過accesslist檢查的數(shù)據(jù)包由CBAC檢查來決定和記錄包連接狀態(tài)信息，這個信息被記錄于一個新產(chǎn)生的狀態(tài)列表中為下一個連接提供快速通道；如果CBAC沒有定義對telnet應(yīng)用的檢查，數(shù)據(jù)包可以直接從該接口送出；基于第三步所獲得的狀態(tài)信息，CBAC在s0的inboundaccesslist中插入一個臨時創(chuàng)建的accesslist入口，這個臨時通道的定義是為了讓從外部回來的數(shù)據(jù)包能夠進入；數(shù)據(jù)包從s0送出；接下來一個外部的inbound數(shù)據(jù)包到達s0，這個數(shù)據(jù)包是先前送出的telnet會話連接的一部分，經(jīng)過s0口的accesslist檢查，然后從第五步建立的臨時通道進入；被允許進入的數(shù)據(jù)包經(jīng)過CBAC的檢查，同時連接狀態(tài)列表根據(jù)需要更新，基于更新的狀態(tài)信息，inboundaccesslist臨時通道也進行修改只允許當(dāng)前合法連接的數(shù)據(jù)包進入；所有屬于當(dāng)前連接的進出s0口數(shù)據(jù)包都被檢查，用以更新狀態(tài)列表和按需修改臨時通道的accesslist，同時數(shù)據(jù)包被允許通過s0口；（10）當(dāng)前連接終止或超時，連接狀態(tài)列表入口被刪除，同時，臨時打開的accesslist入口也被刪除。需要注意的是：對于配置到s0口outboundipaccesslist，accesslist必須允許所有需要的應(yīng)用通過，包括希望被CBAC檢查的應(yīng)用；但是inboundipaccesslist必須禁止所有需要CBAC檢查的應(yīng)用，當(dāng)CBAC被出去的數(shù)據(jù)包觸發(fā)后，會在inboundaccesslist中臨時開放一個通道給合法的、正在傳送的數(shù)據(jù)進入。2、CBAC可提供如下服務(wù)狀態(tài)包過濾：對企業(yè)部網(wǎng)絡(luò)、企業(yè)和合作伙伴互連以及企業(yè)連接internet提供完備的安全性和強制政策。Dos檢測和抵御：CBAC通過檢查數(shù)據(jù)報頭、丟棄可疑數(shù)據(jù)包來預(yù)防和保護路由器受到攻擊。實時報警和跟蹤：可配置基于應(yīng)用層的連接，跟蹤經(jīng)過防火墻的數(shù)據(jù)包，提供詳細過程信息并報告可疑行為。無縫兼容性：整和防火墻和其它ciscoIOS軟件于一體；優(yōu)化廣域網(wǎng)利用率；提供強大的、可升級的路由選擇etc。支持VPN：利用封裝了防火墻版本的ciscoIos軟件和Qos特性來保證在公共網(wǎng)絡(luò)上傳輸數(shù)據(jù)的安全性，同時節(jié)省費用?？缮壟渲茫哼m用于大部分路由器平臺，cisco帶防火墻版本的IOS可升級來滿足網(wǎng)絡(luò)帶寬和性能的需要。3、CBAC受到的限制（1）僅適用于IP數(shù)據(jù)流：只有TCP和UDP包被檢測，其它如ICMP等不能被CBAC檢測，只能通過基本的accesslists過濾。如果我們在配置CBAC時重新更改accesslists，要注意：如果accesslists禁止TFTP數(shù)據(jù)流進入一個接口，我們將不能通過那個接口從網(wǎng)絡(luò)啟動路由器（netboot）。CBAC忽略ICMPunreachable信息。當(dāng)CBAC檢查FTP傳輸時，它只允許目的端口為1024—65535圍的數(shù)據(jù)通道。如果FTP客戶端/服務(wù)器認證失敗，CBAC將不會打開一條數(shù)據(jù)通道。IPSec和CBAC的兼容性：如果CBAC和IPSec配置于同一臺路由器上，只要對數(shù)據(jù)包的檢查是在部網(wǎng)接口上進行的，而數(shù)據(jù)包加密是終止在外部網(wǎng)接口上的，那么IPsec和CBAC就能共存在該邊界路由器上。在這種方式下，檢查的是不加密的數(shù)據(jù)流。4、CBAC所需的存和性能有一些參數(shù)會影響CBAC所需的存和性能：CBAC對每條連接使用600byte的存；在檢查數(shù)據(jù)包的過程中，CBAC使用額外的CPU資源；盡管CBAC通過對accesslists的高效存儲（對accesslist進行散列索引，然后評估該散列）來最小化其對資源的需求，它在accesslist檢查過程中仍要使用一定的CPU資源。5、配置CBAC第一步，CBAC用timeout和threshold值來管理會話，配置判斷是否在會話還未完全建立的時候終止連接。這些參數(shù)全局性地應(yīng)用于所有會話。具有firewallfeature的ciscorouter12.0以上版本的IOS缺省是起了IPINSPECT抵御DoS進攻的。當(dāng)half-open會話數(shù)量大到一定的程度往往意味著正在有DOS攻擊發(fā)生或某人正在做端口掃描，CBAC既監(jiān)測half-open會話總數(shù)也監(jiān)測會話企圖建立的速率。以下是缺省配置：HpXg_1#shipinspectallSessionaudittrailisdisabled（相關(guān)命令是ipinspectaudittrail,是用來打開自動跟蹤審計功能并將信息傳送到console口，缺省是disabled.）Sessionalertisenabledone-minutethresholdsare[400:500]connections（相關(guān)命令是ipinspectone-minutehigh500和ipinspectone-minutelow400,是將引起或?qū)е侣酚善鏖_始或停止刪除half-open會話的新增未建立會話的速率，即每分鐘500/400個half-open會話）max-incompletesessionsthresholdsare[400:500]（相關(guān)命令是ipinspectmax-incompletehigh500,表示將引起路由器開始刪除half-open會話的已經(jīng)存在的half-open會話數(shù)500個；ipinspectmax-incompletelow400表示將導(dǎo)致路由器開始停止刪除half-open會話的已經(jīng)存在的half-open會話數(shù)）max-incompletetcpconnectionsperhostis50.Block-time0minute.（相關(guān)命令：ipinspecttcpmax-incompletehost50block-time0表示將引起路由器開始丟棄到同一目的主機地址的超過50個的half-open會話。如果block-time值為0表示到某個目的主機的每條連接請求，CBAC會刪除到該主機的最老的已存在的half-open會話，并讓該SYN包通過；如果block-time值大于0表示CBAC將刪除到該目的主機的所有已存在的half-open連接，并阻攔所有新的連接請求直到block-time值超時）。tcpsynwait-timeis30sec（ipinspecttcpsynwait-time30：表示路由器在阻斷會話前等待TCP會話達到連接建立狀態(tài)的時間）tcpfinwait-timeis5sec（ipinspecttcpfinwait-time5:表示防火墻檢測到一個FIN標(biāo)志后仍繼續(xù)管理TCP會話的時間長度）tcpidle-timeis3600sec（ipinspecttcpidle-time3600:在沒有TCP連接后仍繼續(xù)管理TCP會話的時間長度）udpidle-timeis30sec（ipinspectudpidle-time30：在UDP會話停止后仍繼續(xù)管理UDP會話信息的時間長度）dns-timeoutis5sec（ipinspectdns-timeout5：DNS名字查詢停止后仍繼續(xù)被管理的時間）設(shè)置timeout值可以通過丟棄超過時限的會話來有效阻止DoS攻擊釋放系統(tǒng)資源，設(shè)置threshold值可以通過限制half-open會話的數(shù)量來阻止DoS攻擊。CBAC提供三種threshold值來抵御DOS攻擊：1、最大half-open的TCP或UDP會話的數(shù)量。2、基于時間的half-open會話數(shù)量。3、每個host可以打開的TCPhalf-open會話的數(shù)量。對于超過threshold值的連接，CBAC會初始化舊的half-open連接，釋放資源接......受新的要求同步的數(shù)據(jù)包。第二步：配置accesslistaccess-list101permiticmpanyanyechoaccess-list101permiticmpanyanyecho-replyaccess-list101permiticmpanyanyunreachableaccess-list101permiticmpanyanytime-exceededaccess-list101permiticmpanyanypacket-too-bigaccess-list101permiticmpanyanytraceroute(以上命令允許ping包通過，主要用來排錯，如果沒有必要上述命令可以不做)access-list101permitanyanyeqsmtp（允許在服務(wù)器上的安全驗證）access-list101denyipanyanylog（CBAC要求禁止其他所有進入的ip包）第三步：根據(jù)實際環(huán)境定義一個檢查規(guī)則。ipinspectnameCBACfragmentmaximum256timeout1(此命令12.1以后的版本出現(xiàn)，防止分段攻擊)ipinspectnameCBACsmtpipinspectnameCBACftpipinspectnameCBAChttpipinspectnameCBACtcp(進入的數(shù)據(jù)包必須與先前流出的數(shù)據(jù)包有相同的源/目的地址和端口號（源和目的對調(diào)），否則就被丟棄)ipinspectnameCBACudptimeout5(如果配置了timeout值，那么應(yīng)答數(shù)據(jù)包是在最后的UDP請求包被送出后的預(yù)定時間圍收到的，就被允許通過防火墻返回)第四步：把檢查規(guī)則定義到一個接口上。interfaceBRI0/0ipaddressnegotiatedipaccess-group101inipnatoutsideipinspectCBACout做完以上配置后，實際運行中路由器顯示的log如下：04:20:27:%FW-6-SESS_AUDIT_TRAIL:httpsessioninitiator(:1426)sent656bytes--resp