PC6下载站

分类分类

CBAC的合理配置提高升Cisco路由器安全

关注+2010-12-11作者:学学

2 页 图2给出了第2种网络拓扑结构
  图1
  图2给出了第2种网络拓扑结构。在该拓扑结构中,CBAC被配置在内部接口E0上,允许外部数据流访问DMZ(连接在接口E1上的停火区)中的办事(如DNS办事),同时防止指定的协议数据流如内部网络,除非这些数据流是由内部网络所提倡的会话的一部分。这两种拓扑结构之间的关键不同点是:第1种拓扑结构不允许外部数据流不颠末CBAC过滤器就进入了路由器;第2中拓扑结构允许外部数据流入路由器,让他们能不颠末CBAC过滤器就到达位于DMZ区中的公共办事器。
Cisco


  图2
  根据这2个拓扑结构样例,可以决定网络是否应在一个内部接口或是在一个外部接口上配置CBAC。如果防火墙只有2条连接,一条是到内部网络,另外一条是到外部网络,那么只能使用入方向的访问控制列表就可以了,因为数据包在有机会影响路由器之前已经被过滤了。
  3.防火墙配置
  当用户用Cisco IOS配置任何IP防火墙时可参照下面给出的一些基本的配置指南CISCO路由器,cisco
  特别要注意的是,CBAC只能用于IP数据流。尽管一个拒绝所以不属于受CBAC所审查的连接一部分的IP数据流的访问控制列表看起来比较安全,但它对路由器的精确运行不太现实。路由器期望能够看到来自网络中其他路由器的ICMP数据流。ICMP数据流不能被CBAC所审查,所以应在防护控制列表中设置特定的条目以允许返回的ICMP数据流。如在受保护网络中的一个用户要用“Ping”命令来猎取位于不受保护网络中的一台主机的状态,如果在访问控制列表中没有允许“echoreply”消息的条目,则在受保护网络中的这位用户就得不到其“Ping”命令的相应。下面所示的配置中含有允许关键ICMP消息的访问控制列表条目:
  Router(config)#access -list 101 permit icmp any any echo-reply
  Router(config)#access -list 101 permit icmp any any time-execeeded
  Router(config)#access -list 101 permit icmp any any packet-too-big
  Router(config)#access -list 101 permit icmp any any traceroute
  Router(config)#access -list 101 permit icmp any any UnreaChable
  (2).在访问控制列表中添加一个拒绝所有冒用受保护网络中地址的外来数据流的条目。这被称作防欺骗保护,因为它可以防止来自不受保护网络的数据流假冒保护网络中某个设备的身份。
  (3).在访问控制列表增加一个拒绝源地址为广播地址(255.255.255.255)数据包的条目。该条目可以防止广播攻击。如在FTP会话中,控制信道(通常是TCP端口21)和数据信道(通常是TCP端口20)的状态变化都市被监视,但只有控制信道才会被审查CISCO路由器,cisco。因为“enableesecret”命令使用了一种更强的加密算法。
  (5).在控制台端口上设置一个口令,至少应配置“login”和“password”命令。
  (6).在以任何方法将控制台连接到网络上(包括在该端口上连接一个调制解调器)之前,应认真考虑访问控制事宜CISCO路由器,cisco。要明白,在重启防火墙路由器时通过在控制台端口上“break”键就可以获得对它的完全控制权,即使配置了访问控制也无法阻止。
[ > 关于HISENSE防火墙系统中的CISCO路由报告 ]  (7).对所有的虚拟终端端口应用访问控制列表和口令保护。用“access -class”命令指定的访问可以通过telnet登录到路由器上。
  (8).不要启用用不到的任何本地办事(如SNMP或网络时间协议NTP)。Cisco发现吸引CDP(Cisco Discovery Protocol)和NTP的缺省是打开的,如果不使用的话就应该把它们关了。
  (9).任何被启用的办事都有可能带来潜在的安全风险CISCO路由器,cisco。一个坚决的、有恶意的团体有可能会摸索出滥用所启用办事的方法来访问防火墙或网络。对于被启用的本地办事,,可以通过将它们配置为只与特定的对等体进行通信来防止被滥用,并通过在特定的接口上配置访问控制列表来拒绝对这些办事的访问数据包来保护自己。
  (10).关了低端口办事。对于IP可以输入“noservicetcp-small-servers”和“noserviceudp-small-servers”全局配置命令。在Cisco IOS版本12.0及后续版本中,这些办事缺省便是关了的。
  (11).通过在任何异步telnet端口上配置访问控制列表来防止防火墙被用作中继跳板。
  (12).通常情况下,应该在防火墙和所有其他路由器上关了对任何可应用协议的定向广播功能。对于IP协议,可使用no中“directed -broadcast”命令。在极少数情况下,有些IP网络确实需要定向广播功能,在这种情况下就不能关了定向广播功能,定向广播可以被滥用来放大拒绝办事攻击的力量,因为每个Dos数据包都市被广播到同一子网的所有主机。另外,有些主机在处理广播时还存在有其他固有的安全风险。
  (13).配置“noproxy -arp”命令来防止内部地址被暴露(如果没有配置NAT来防止内部地址被暴露的话,这么做是非常必要的)。当网络攻击者想一台办事器提倡了SYN包风暴攻击。

       Cisco在2002年新版的考试改革中,增加不少模拟实验题,大大提高考试难度。
  (14).将防火墙防在一个安全的地区内。为了配合Cisco考试范例的调整,国外不少专业认证考试公司推出林林总总的CISCO实验模拟器,比较出名的有思科网

本文导航
展开全部

相关文章

更多+相同厂商

热门推荐

  • 最新排行
  • 最热排行
  • 评分最高
排行榜

    点击查看更多

      点击查看更多

        点击查看更多

        说两句网友评论

          我要评论...
          取消