第五章 提升Cisco路由器的安全性.ppt

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)培訓(xùn)教材 中國人民保險(xiǎn)公司 目錄 第一章Cisco路由器產(chǎn)品介紹第二章配置Cisco路由器第三章管理Cisco路由器第四章Cisco路由器故障排除第五章提升Cisco路由器的安全性第六章PICC網(wǎng)絡(luò)范例 第五章提升Cisco路由器的安全性 訪問控制列表將路由器建成堡壘主機(jī)SNMP 1訪問控制列表 訪問控制列表概述訪問控制列表的功能按正確順序創(chuàng)建訪問控制列表訪問控制列表分類標(biāo)準(zhǔn)訪問控制列表擴(kuò)展訪問控制列表 訪問控制列表概述 由于不同網(wǎng)段間的通信都要經(jīng)過路由設(shè)備 因此路由器提供了通信流量的過濾能力 訪問控制列表 ACL 是應(yīng)用到路由器接口的指令列表 是一組連續(xù)的允許和拒絕的陳述語句的集合 ACL可基于源地址 目的地址 端口號(hào)等指示條件 ACL的定義是基于每一種協(xié)議的 訪問控制列表的功能 a 限制網(wǎng)絡(luò)流量 提高網(wǎng)絡(luò)性能 b 提供了對(duì)流量的控制手段 c 提供網(wǎng)絡(luò)訪問的基本安全手段 例如 ACL允許某一主機(jī)訪問你的網(wǎng)絡(luò) 而阻止另一主機(jī)訪問相同的網(wǎng)絡(luò) d 在路由器的接口處決定那種類型的通信流量被轉(zhuǎn)發(fā) 那種類型的通信流量被阻塞 例如 你可以允許telnet通信流量被路由 同時(shí)拒絕所有ftp通信流量 訪問控制列表的分類 訪問控制列表分為兩類 1 標(biāo)準(zhǔn)訪問控制列表只能按源地址過濾2 擴(kuò)展訪問控制列表可以按源和目標(biāo)地址與服務(wù)過濾 在舊版IOS中 訪問表類型按編號(hào)定義 編號(hào)協(xié)議類型1 99IP標(biāo)準(zhǔn)100 199IP擴(kuò)展新版IOS允許命名訪問表 可以指定所生成訪問表的類型 訪問控制列表的配置任務(wù) 為創(chuàng)建一個(gè)訪問控制列表 需執(zhí)行下列任務(wù) 定義一個(gè)訪問控制列表將訪問控制列表應(yīng)用到路由器的一個(gè)接口 配置標(biāo)準(zhǔn)訪問控制列表 定義標(biāo)準(zhǔn)ACLRouter config access listaccess list number deny permit source source wildcard log 將ACL應(yīng)用到某個(gè)端口Router config if ipaccess groupaccess list number in out InboundACL處理過程 OutboundACL處理過程 Source wildcard Source wildcard是用來辨識(shí)sourceip地址是否符合我們制定的規(guī)則 當(dāng)source wildcard的位為1時(shí) 則是 don tcare 不關(guān)心 當(dāng)source wildcard掩碼的位為0時(shí) 則是 needmatch 需要匹配 當(dāng)source wildcard掩碼省略時(shí) 則是使用默認(rèn)值0 0 0 0 any代表任何地址 表示sourceaddress0 0 0 0和sourcewildcard255 255 255 255 Source wildcard應(yīng)用舉例 例1 source 203 66 47 50source wildcard 0 0 0 0表示所有位必須符合 所以只有IP地址為203 66 47 50的符合 例2 source 203 66 47 0source wildcard 0 0 0 255表示只有前三組需符合 所以有一整個(gè)C級(jí)的IP地址符合 標(biāo)準(zhǔn)ACL配置舉例 例1 允許源IP地址為203 66 47 50的數(shù)據(jù)包通過access list1permit203 66 47 500 0 0 0例2 允許源IP地址為203 66 47 X整個(gè)C級(jí)網(wǎng)絡(luò)的數(shù)據(jù)包通過access list2permit203 66 47 00 0 0 255例3 拒絕源IP地址為203 66 47 50的數(shù)據(jù)包通過access list3deny203 66 47 50例4 拒絕源IP地址為203 66 47 X的整個(gè)C級(jí)網(wǎng)絡(luò)的數(shù)據(jù)包通過 但允許其它任何IP數(shù)據(jù)包通過access list4deny203 66 47 00 0 0 255access list4permitany ACL配置規(guī)則 自上而下的順序PlacemorespecificreferencesfirstACL的最后隱含地拒絕全部Unlessaccesslistendswithexplicitpermitany新ACL語句只能加到最后Cannotselectivelyadd removelines 標(biāo)準(zhǔn)ACL應(yīng)用舉例 標(biāo)準(zhǔn)ACL應(yīng)用舉例 續(xù) 例1 允許源網(wǎng)絡(luò)地址為172 16 0 0的通信流量通過 access list1permit172 16 0 00 0 255 255 隱含access list1deny0 0 0 0255 255 255 255或access list1denyany interfaceethernet0ipaccess group1outinterfaceethernet1ipaccess group1out 標(biāo)準(zhǔn)ACL應(yīng)用舉例 續(xù) 例2 拒絕一個(gè)特定子網(wǎng) 172 16 4 0 的通信流量通過access list1deny172 16 4 000 0 0 255access list1permitany 隱含access list1deny0 0 0 0255 255 255 255或access list1denyany interfaceethernet0ipaccess group1out 擴(kuò)展訪問控制列表 擴(kuò)展ACL提供了比標(biāo)準(zhǔn)ACL更廣闊的控制范圍 它既檢查數(shù)據(jù)包的源地址 也檢查數(shù)據(jù)包的目的地址 此外 還可以檢查數(shù)據(jù)包的特定的網(wǎng)絡(luò)協(xié)議類型 端口號(hào)等等 擴(kuò)展ACL提供了更加精確的流量控制 擴(kuò)展ACL使用的數(shù)字表號(hào)在100 199之間 配置擴(kuò)展ACL 擴(kuò)展ACL中 命令access list的完全語法格式為 Router config access listaccess list number deny permit protocolsouce souce wildcarddestinationdestination wildcard operatoroperand 擴(kuò)展ACL配置實(shí)例 例1 拒絕FTP通信流量通過E0access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101permitip172 16 4 00 0 0 2550 0 0 0255 255 255 255 隱含denyanyany interfaceethernet0ipaccess group101out 2將路由器建成堡壘主機(jī) 控制臺(tái)端口Telnet訪問其它路由器訪問方法 將路由器建成堡壘主機(jī) 保護(hù)控制臺(tái)端口 路由器控制臺(tái)缺省沒有配置口令 可以用下列命令設(shè)置口令 sparky config lineconsole0sparky config line passwordciscosparky config line login要保護(hù)路由器控制臺(tái)端口不被非法連接 將路由器建成堡壘主機(jī) 控制telnet訪問 Cisco路由器提供vty0 vty4共5個(gè)虛終端地telnet訪問 Cisco路由器缺省不對(duì)這些線路指定口令 在無口令的情況下 可防止任何人用虛終端登錄 Router telnet10 1 1 3trying10 1 1 3 OpenPasswordrequired butnoneset Connectionto10 1 1 3closedbyforeignhost 可使用exec timeout命令設(shè)置超時(shí)控制 將路由器建成堡壘主機(jī) 控制telnet訪問 續(xù) 可以用標(biāo)準(zhǔn)IP訪問表控制允許哪個(gè)IP地址訪問VTY線路 在vty端口應(yīng)用ACL舉例 sparky config access list30permit10 1 1 0 0 0 0 255sparky config access list31permit10 1 1 44 0 0 0 0sparky config linevty03sparky config line access class30insparky config linevty4sparky config line access class31in注意 我們用訪問列表31配置VYT線路4 只讓10 1 1 44進(jìn)入 這樣 如果遇到問題 則管理員可以用路由器上的這個(gè)VTY線路訪問和檢查問題 因?yàn)檫@個(gè)線路只有管理員的工作站才能訪問 將路由器建成堡壘主機(jī) http服務(wù) 缺省情況下 IOS12有個(gè)全局命令 iphttpserver 這個(gè)命令使路由器可以作為HTTP服務(wù)器用于配置 應(yīng)使用noiphttpserver命令關(guān)閉此功能 以保證路由器的安全 如果真要使用Wed界面 則可以采取更安全的措施 使用httpport命令將HTTP服務(wù)移到缺省端口80之外 使不速之客不容易找到 SNMP的安全性 SNMP最大的問題是人們通常使用缺省通訊字符串名 只讀字符串為pu