網(wǎng)絡(luò)安全--邊界安全(1)

網(wǎng)絡(luò)安全--邊界安全（1）

現(xiàn)在人們生活依賴互聯(lián)網(wǎng)程度越來越高，網(wǎng)絡(luò)安全也逐步進(jìn)入人們?nèi)粘Ｒ曇?，信用卡信息泄漏、開房記錄被查詢、商業(yè)機(jī)密泄漏等等；無不牽動著一個人、一個公司、甚至一個國家的神經(jīng)。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)邊界變得也越來越復(fù)雜，比如web應(yīng)用、無線接入、DCI、×××等技術(shù)的應(yīng)用，導(dǎo)致網(wǎng)絡(luò)邊界變的好像很龐雜，無從下手；但是無論是對邊界進(jìn)行分層加固，還是加強(qiáng)對各個網(wǎng)絡(luò)入口的安全審計，亦或是對使用人員進(jìn)行安全培訓(xùn)；都必須對各自網(wǎng)絡(luò)心中有數(shù)。網(wǎng)絡(luò)邊界設(shè)備一般是路由器、交換機(jī)或者防火墻。

邊界安全—ACL

   路由器或者交換機(jī)作為邊界時，基本上都配置了訪問控制列表ACL，像銀行等有些地方ACL的數(shù)量可能非常龐大，達(dá)到了幾千條甚至更多，邊界使用較多的設(shè)備一般為：Nexus7K、cisco7600、Cisco6500、huawei 9300、huwei CloudEngine等，下面將以cisco為例介紹邊界重要的安全措施ACL。

ACL應(yīng)用情形：

1、  控制鄰居設(shè)備間的路由信息。

2、  控制穿越設(shè)備的流量網(wǎng)絡(luò)訪問。

3、  控制console、VTY訪問。

4、  定義IPsec ×××等的感興趣流。

5、  實(shí)施QoS等其他特性。

ACl配置

1、  創(chuàng)建一個ACL

2、  將ACL應(yīng)用到一個接口中。

ACl類型

1、  標(biāo)準(zhǔn)ACL。編號1~99，只能過濾源IP數(shù)據(jù)包。

2、  擴(kuò)展ACL。編號100~199，可以基于源IP、目的IP、協(xié)議、端口、flag等進(jìn)行流量過濾。

3、  命名ACL?？梢詰?yīng)用在標(biāo)準(zhǔn)和擴(kuò)展ACL上，用名字代替數(shù)字，方便配置管理，使用較多。

4、  分類ACL。一般用于DoS等安全鑒別。

5、  其他很少用的ACL類型。動態(tài)ACL、自反ACL、time ACL、調(diào)試ACL等。

ACL實(shí)施準(zhǔn)則

1、  ACL可以在多個接口同時使用(復(fù)用)。

2、  同一接口只能對同一協(xié)議使用一個ACL，例如一個出站ACL、一個入站ACL。針對不同協(xié)議，一個接口上可以應(yīng)用多與兩個ACL。

3、  ACL匹配順序處理，精確的放在前面。

4、  始終要遵循先創(chuàng)建ACL，然后在應(yīng)用到接口上；修改時就要先移除acl，修改完成后，在應(yīng)用到接口。

5、  應(yīng)用到路由器的出站ACL只檢查通過路由器的流量，就是說不會檢查自身產(chǎn)生的流量。

6、  對于標(biāo)準(zhǔn)ACL，應(yīng)該應(yīng)用在流量傳輸離目的地最近的位置，對于擴(kuò)展ACL應(yīng)用在離源最近的位置。

ACL應(yīng)用舉例

1、  假如一個數(shù)據(jù)中心的邊界是一臺交換機(jī)，內(nèi)部僅提供Web，DNS應(yīng)用，為安全考慮實(shí)施ACL控制。

Ipaccess test-sample

Deny ip 10.0.0.0/8 any      ------拒絕RFC1918地址

Deny ip 172.16.0.0/21 any

Deny ip 192.168.0.0/16 any

Permit tcp any 1.1.1.2/32 eq www  -------開放web tcp的80端口

Permit udp any 1.1.1.3/32 eq 53     --------開放DNS udp 的53端口

然后把該acl應(yīng)用到連接出口的in方向即可。

2、  假如該數(shù)據(jù)中心服務(wù)器正在遭受***，由于沒有其他防護(hù)檢測設(shè)備，使用acl進(jìn)行排查。

access-list 169 permit icmp any any echo

access-list 169 permit icmp any anyecho-reply

access-list 169 permit udp any any eq echo

access-list 169 permit udp any eq echo any

access-list 169 permit tcp any anyestablished

access-list 169 permit tcp any any

access-list 169 permit ip any any

然后把接口應(yīng)用到出口的in方向，然后通過showip access-list查看匹配數(shù)目，最后在匹配數(shù)據(jù)較大的acl條目上使用log-input，接下來看日志就可以發(fā)現(xiàn)***源IP了。(在Nexus交換機(jī)上需要添加statistics per-entry才可以進(jìn)行acl匹配計數(shù))。