您好,登錄后才能下訂單哦!
網(wǎng)絡(luò)安全--邊界安全(1)
現(xiàn)在人們生活依賴互聯(lián)網(wǎng)程度越來越高,網(wǎng)絡(luò)安全也逐步進(jìn)入人們?nèi)粘R曇?,信用卡信息泄漏、開房記錄被查詢、商業(yè)機(jī)密泄漏等等;無不牽動著一個人、一個公司、甚至一個國家的神經(jīng)。隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)邊界變得也越來越復(fù)雜,比如web應(yīng)用、無線接入、DCI、×××等技術(shù)的應(yīng)用,導(dǎo)致網(wǎng)絡(luò)邊界變的好像很龐雜,無從下手;但是無論是對邊界進(jìn)行分層加固,還是加強(qiáng)對各個網(wǎng)絡(luò)入口的安全審計,亦或是對使用人員進(jìn)行安全培訓(xùn);都必須對各自網(wǎng)絡(luò)心中有數(shù)。網(wǎng)絡(luò)邊界設(shè)備一般是路由器、交換機(jī)或者防火墻。
邊界安全—ACL
路由器或者交換機(jī)作為邊界時,基本上都配置了訪問控制列表ACL,像銀行等有些地方ACL的數(shù)量可能非常龐大,達(dá)到了幾千條甚至更多,邊界使用較多的設(shè)備一般為:Nexus7K、cisco7600、Cisco6500、huawei 9300、huwei CloudEngine等,下面將以cisco為例介紹邊界重要的安全措施ACL。
ACL應(yīng)用情形:
1、 控制鄰居設(shè)備間的路由信息。
2、 控制穿越設(shè)備的流量網(wǎng)絡(luò)訪問。
3、 控制console、VTY訪問。
4、 定義IPsec ×××等的感興趣流。
5、 實(shí)施QoS等其他特性。
ACl配置
1、 創(chuàng)建一個ACL
2、 將ACL應(yīng)用到一個接口中。
ACl類型
1、 標(biāo)準(zhǔn)ACL。編號1~99,只能過濾源IP數(shù)據(jù)包。
2、 擴(kuò)展ACL。編號100~199,可以基于源IP、目的IP、協(xié)議、端口、flag等進(jìn)行流量過濾。
3、 命名ACL??梢詰?yīng)用在標(biāo)準(zhǔn)和擴(kuò)展ACL上,用名字代替數(shù)字,方便配置管理,使用較多。
4、 分類ACL。一般用于DoS等安全鑒別。
5、 其他很少用的ACL類型。動態(tài)ACL、自反ACL、time ACL、調(diào)試ACL等。
ACL實(shí)施準(zhǔn)則
1、 ACL可以在多個接口同時使用(復(fù)用)。
2、 同一接口只能對同一協(xié)議使用一個ACL,例如一個出站ACL、一個入站ACL。針對不同協(xié)議,一個接口上可以應(yīng)用多與兩個ACL。
3、 ACL匹配順序處理,精確的放在前面。
4、 始終要遵循先創(chuàng)建ACL,然后在應(yīng)用到接口上;修改時就要先移除acl,修改完成后,在應(yīng)用到接口。
5、 應(yīng)用到路由器的出站ACL只檢查通過路由器的流量,就是說不會檢查自身產(chǎn)生的流量。
6、 對于標(biāo)準(zhǔn)ACL,應(yīng)該應(yīng)用在流量傳輸離目的地最近的位置,對于擴(kuò)展ACL應(yīng)用在離源最近的位置。
ACL應(yīng)用舉例
1、 假如一個數(shù)據(jù)中心的邊界是一臺交換機(jī),內(nèi)部僅提供Web,DNS應(yīng)用,為安全考慮實(shí)施ACL控制。
Ipaccess test-sample
Deny ip 10.0.0.0/8 any ------拒絕RFC1918地址
Deny ip 172.16.0.0/21 any
Deny ip 192.168.0.0/16 any
Permit tcp any 1.1.1.2/32 eq www -------開放web tcp的80端口
Permit udp any 1.1.1.3/32 eq 53 --------開放DNS udp 的53端口
然后把該acl應(yīng)用到連接出口的in方向即可。
2、 假如該數(shù)據(jù)中心服務(wù)器正在遭受***,由于沒有其他防護(hù)檢測設(shè)備,使用acl進(jìn)行排查。
access-list 169 permit icmp any any echo
access-list 169 permit icmp any anyecho-reply
access-list 169 permit udp any any eq echo
access-list 169 permit udp any eq echo any
access-list 169 permit tcp any anyestablished
access-list 169 permit tcp any any
access-list 169 permit ip any any
然后把接口應(yīng)用到出口的in方向,然后通過showip access-list查看匹配數(shù)目,最后在匹配數(shù)據(jù)較大的acl條目上使用log-input,接下來看日志就可以發(fā)現(xiàn)***源IP了。(在Nexus交換機(jī)上需要添加statistics per-entry才可以進(jìn)行acl匹配計數(shù))。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。