企業(yè)網(wǎng)絡安全技術與實踐

1、第7章 企業(yè)網(wǎng)絡安全技術與實踐 7.1 訪問控制列表的基本原理訪問控制列表的基本原理 訪問控制列表訪問控制列表(acl)是應用到路由器接口的指令列表，用是應用到路由器接口的指令列表，用 來控制進出的數(shù)據(jù)包。該列表由一系列來控制進出的數(shù)據(jù)包。該列表由一系列permit(允許允許)和和 deny(拒絕拒絕)語句組成的有序的集合，通過匹配報文中的信語句組成的有序的集合，通過匹配報文中的信 息與訪問控制列表參數(shù)可以過濾發(fā)進和發(fā)出的信息包的請息與訪問控制列表參數(shù)可以過濾發(fā)進和發(fā)出的信息包的請 求，實現(xiàn)對路由器和網(wǎng)絡的安全控制。求，實現(xiàn)對路由器和網(wǎng)絡的安全控制。acl是根據(jù)網(wǎng)絡中是根據(jù)網(wǎng)絡中 每個數(shù)據(jù)包所

2、包含的信息和內容決定是否允許該信息包通每個數(shù)據(jù)包所包含的信息和內容決定是否允許該信息包通 過指定的接口，可以讓網(wǎng)絡管理員以基于數(shù)據(jù)報文的源過指定的接口，可以讓網(wǎng)絡管理員以基于數(shù)據(jù)報文的源ip 地址、目地地址、目地ip地址和應用類型的方式來控制網(wǎng)絡中數(shù)據(jù)的地址和應用類型的方式來控制網(wǎng)絡中數(shù)據(jù)的 流量及流向，通過接口的數(shù)據(jù)包都要按照訪問控制列表的流量及流向，通過接口的數(shù)據(jù)包都要按照訪問控制列表的 規(guī)則進行從上到下的順序比較操作，直到符合規(guī)則被允許規(guī)則進行從上到下的順序比較操作，直到符合規(guī)則被允許 通過，否則被拒絕丟棄。通過，否則被拒絕丟棄。 7.1.1 訪問控制列表的概念及工作原理 1. acl工

3、作原理 圖7.1 訪問控制列表工作原理 圖7.2 訪問控制列表表項匹配原理 2. 訪問控制列表的分類 （1）標準訪問控制列表 標準的ip訪問控制列表，只檢查被路由的數(shù)據(jù)包的源地址，其結果是 基于源網(wǎng)絡/子網(wǎng)/主機ip地址來決定是允許還是拒絕數(shù)據(jù)包。 標準訪問控制列表的基本語法為： access-list standard permit/deny wildcardmask 其中： 1) 標識條目所屬的列表，它是一個1-99的數(shù)字標識； 2) permit/deny指明該條目是允許還是阻塞指定的地址； 3) source-address標識源ip地址； 4) wildcardmask反向掩碼標識哪

4、些地址需進行匹配，默認反向掩碼是 0.0.0.0(匹配所有)。如果反向掩碼為：0.0.0.255，則表示匹配的源地址 掩碼為255.255.255.0。 （2）擴展訪問控制列表 擴展的ip訪問控制列表，對數(shù)據(jù)包的源地址與目標地址均進行檢查,它們 也能夠檢查特定的協(xié)議、端口號及其他參數(shù)。 擴展訪問控制列表基本語法： access-list protocol source-address source-wildcard operatorport destination-address destination-wildcard oper-ator port established log 其中： 1

5、) 使用在100199之間的一個數(shù)字標識； 2) permit/deny指明該條目是允許還是阻塞指定的地址； 3) protocol可以是ip、tcp、udp、icmp、gre或igrp； 4) source-address、source-wildcard、destination-address、destination- wildcard代表源/目標地址以及掩碼； 5) operator port可以是lt(小于)、gt(大于)、 eq(等于)、 neq(不等于)加上一 個端口號； 6) established只用于tcp訪問控制，該參數(shù)只影響tcp連接三次握手中的第 一次，acl會對tcp報

6、文中的ack或rst位進行檢查，如果ack或rst 位被置位，則表示數(shù)據(jù)包是正在進行的會話的一部分，否則是正在進行 的連接會話。 （3）基于名稱的訪問控制列表 不管是標準訪問控制列表還是擴展訪問控制列表都有一個 弊端，那就是當設置好acl的規(guī)則后其中的某條需要修改， 只能將全部acl信息都刪除，也就是說修改一條或刪除一 條都會影響到整個acl列表。這一個缺點為網(wǎng)絡管理人員 帶來了繁重的負擔，所以可以用基于名稱的訪問控制列表 來解決這個問題。 基于名稱的訪問控制列表的格式： ip access-list standard/extended 當建立基于名稱的訪問控制列表后，就可以添加或者修改 訪問

7、控制規(guī)則。 （4）基于時間的訪問控制列表 基于時間的訪問控制列表在繼承了擴展訪問控制列表的基 礎上，引入了時間機制，可以在定制的時間段使擴展訪問 控制列表生效。 例7.1 標準訪問控制列表配置示例（網(wǎng)絡拓撲如圖 7.3所示） 兩臺交換機switcha為三層交換機，網(wǎng)絡內共劃分 了兩個vlan，分別為vlan100與vlan200，其 中pc1屬于vlan100，pc2屬于vlan200。兩臺 交換機通過trunk端口fa0/1相連，使得vlan100與 vlan200可以通信。在swithcb配置標準訪問控制 列表，使得pc1與pc2不能通信，但pc1能訪問 switcha。 圖7.3 標準訪

8、問控制列表示例拓撲 （1）交換機的基本配置 劃分vlan100與vlan200，并且開啟switcha的三層交換功能。主要配置內 容如下： / switchb上劃分vlan100與vlan200，并且將pc1與pc2分別劃分進vlan1 swithb(config)#vlan 100 swithb(config-vlan)#exit swithb(config)#vlan 200 swithb(config-vlan)#exit swithb(config)#int range fa0/2 swithb(config-if)#switchport access vlan 100 swithb(

9、config-if)#exit swithb(config)#int fa0/3 swithb(config-if)#switchport access vlan 200 swithb(config-if)#exit swithb(config)#exit %sys-5-config_i: configured from console by console swithb#conf t /將fa0/1接口鏈路配置成trunk鏈路，封裝協(xié)議為ieee802.1q標準 swithb(config)#int fa0/0 swithb(config-if)#switchport trunk encap

10、sulation dot1q swithb(config-if)#switchport mode trunk swithb(config-if)#switchport trunk allowed vlan all swithb(config-if)#end swithb#write building configuration. ok switcha(config)#int fa0/1 /將fa0/1接口鏈路配置成trunk鏈路，封裝協(xié)議為ieee802.1q標準 switcha(config-if)#switchport trunk encapsulation dot1q switcha(c

11、onfig-if)#switchport mode trunk switcha(config-if)#switchport trunk allowed vlan all switcha(config-if)#exit /switcha上劃分vlan100與vlan200 switcha(config)#vlan 100 switcha(config-vlan)#exit switcha(config)#vlan 200 switcha(config-vlan)#exit switcha(config)#int vlan100 %link-5-changed: interface vlan100

12、, changed state to up %lineproto-5-updown: line protocol on interface vlan100, changed state to switcha(config-if)#ip address 192.168.100.1 255.255.255.0 switcha(config-if)#no shu switcha(config-if)#exit switcha(config)#int vlan200 %link-5-changed: interface vlan200, changed state to up %lineproto-5

13、-updown: line protocol on interface vlan200, changed state to up switcha(config-if)#ip address 192.168.200.2 255.255.255.0 switcha(config-if)#exit switcha(config)#exit %sys-5-config_i: configured from console by console switcha#write building configuration. ok （2）配置標準訪問控制列表 switchb#conf t enter conf

14、iguration commands, one per line. end with cntl/z. switchb(config)#ip access-list standard test / 定義一個名稱標準訪問控 制列表test switchb(config-std-nacl)#deny host 192.168.200.2 / 第一條拒絕pc2數(shù)據(jù) 源 / 第二條允許所有訪問，因為默認最后一條為拒絕所有訪問， / 如果無此條，將拒絕所有訪問 switchb(config-std-nacl)#permit any switchb(config-std-nacl)#exit switchb

15、(config)#int f0/1 switchb(config-if)#ip access-group test in switchb(config-if)#end switchb# 01:04:22: %sys-5-config_i: configured from console by console （3）結果測試 首先在pc1上執(zhí)行ping命令，測試到pc2的連通性，請求數(shù)據(jù)包被acl阻止，執(zhí)行結果如 下所示： pc1#ping 192.168.200.2 type escape sequence to abort. sending 5, 100-byte icmp echos to

16、 192.168.200.2, timeout is 2 seconds: . success rate is 0 percent (0/5) 隨后在pc1上執(zhí)行ping命令測試到switcha的連通性，連通正常，結果如下所示： pc1#ping 192.168.200.1 type escape sequence to abort. sending 5, 100-byte icmp echos to 192.168.200.1, timeout is 2 seconds: ! success rate is 100 percent (5/5), round-trip min/avg/max

17、= 1/1/1 ms 7.2 vpn技術與應用 7.2.1 vpn的概念 vpn是英文virtual private network的縮寫，一般譯為虛擬專用網(wǎng)絡，或 者虛擬專網(wǎng)。現(xiàn)已被人們作為一個專門的術語來接受。對于術語vpn 指的是依靠服務提供商（isp）和其它網(wǎng)絡服務提供商，在公用網(wǎng)絡 中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。在虛擬專用網(wǎng)中，任意兩個節(jié)點 之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種 公眾網(wǎng)的資源動態(tài)組成的。internet工程任務組（internet engineer task force，ietf）草案將基于ip的vpn理解為：“使用ip機制仿真出一個 私有的

18、廣域網(wǎng)”，它是通過私有的隧道技術在公共數(shù)據(jù)網(wǎng)絡上仿真一 條點到點的專線技術。所謂虛擬，是指用戶不再需要擁有實際的長途 數(shù)據(jù)線路，而是使用internet公共數(shù)據(jù)網(wǎng)絡的長途數(shù)據(jù)線路。所謂專用 網(wǎng)絡，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡，vpn示 意圖如圖7.8所示。 圖7.8vpn示意圖 1. vpn的功能 1)基于公鑰基礎設施（pki）的用戶版權體系 2)身份驗證和數(shù)據(jù)加密 3)數(shù)據(jù)完整性保護 4)提供訪問控制 2. vpn的分類 1）按業(yè)務分類 2）按vpn在網(wǎng)絡中實現(xiàn)的位置分類 3. vpn的主要技術 1）隧道技術 2）密碼技術 3）身份認證技術 4）密鑰管理技術 7.2.2 i

19、psec協(xié)議協(xié)議 1. ipsec體系結構 ipsec（ip security）是ietf ipsec工作組為了在ip 層提供通信安全而制定的一套協(xié)議族。它包括安 全協(xié)議部分和密鑰協(xié)商部分，安全協(xié)議部分定義 了對通信的安全保護機制；密鑰協(xié)商部分定義了 如何為安全協(xié)議協(xié)商保護參數(shù)，以及如何對通信 實體的身份進行鑒別。 ipsec主要由認證頭協(xié)議(ah)、封裝安全載荷協(xié)議 (esp)和因特網(wǎng)密鑰交換協(xié)議(ike)三部分組成， 各個協(xié)議之間的關系如圖7.9所示。 圖7.9 ipsec體系結構 ah為ip數(shù)據(jù)包提供無連接的數(shù)據(jù)完整性和數(shù)據(jù)源身份認證，同時具 有抗重放攻擊的能力。數(shù)據(jù)完整性校驗通過消息認

20、證碼來保證，數(shù)據(jù) 源身份認證通過在待認證數(shù)據(jù)中加入一個共享密鑰來實現(xiàn)，ah報頭 中的序列號可以防止重放攻擊。 esp為數(shù)據(jù)包提供保密性、完整性、數(shù)據(jù)源身份認證和抗重放攻擊保 護。其中數(shù)據(jù)的保密性是esp的基本功能，而數(shù)據(jù)源身份認證、數(shù)據(jù) 完整性以及抗重放攻擊保護都是可選服務。 解釋域(doi)將所有的ipsec協(xié)議捆綁在一起，是ipsec參數(shù)的重要數(shù)據(jù) 庫。 密鑰管理包括ike協(xié)議和安全關聯(lián)sa部分。ike負責密鑰協(xié)商，密鑰 管理以及在通信系統(tǒng)之間建立安全關聯(lián)，是一個產(chǎn)生和交換密鑰材料 并協(xié)商ipsec參數(shù)的框架。ike將密鑰協(xié)商的結果保留在sa條目中，供 ah和esp以后通信使用。 安全策略

21、負責哪些通信數(shù)據(jù)允許加密和認證，其由訪問控制列表控制。 2. 配置ipsec的相關概念 （1）數(shù)據(jù)流 一組具有相同源網(wǎng)絡地址/掩碼、目的網(wǎng)絡地址/掩碼和上 層協(xié)議的數(shù)據(jù)集合稱為數(shù)據(jù)流。通常采用一個擴展訪問控 制列表acl來定義數(shù)據(jù)流，其中允許通過的所有報文在邏 輯上作為一個數(shù)據(jù)流。注意，ipsec能夠對不同的數(shù)據(jù)流 施加不同的安全保護，也就是說對不同的數(shù)據(jù)流使用不同 的安全協(xié)議、算法或密鑰，因此可以在一個網(wǎng)關中定義多 個acl。 （2）變換集（transform set） 變換集為一組數(shù)據(jù)流安全參數(shù)的配置集合，包括sa使用 的安全協(xié)議（ah或者esp）、安全協(xié)議使用的算法（驗證 和加密算法）、

22、安全協(xié)議對報文的封裝形式（隧道模式或 傳送模式）。 （3） 安全策略 一條安全策略由“名字”和“順序號”標識。規(guī)定對一組數(shù)據(jù)流采 用什么樣的安全措施，安全策略的功能是通過調用變換集實現(xiàn)的。一 條安全策略包含三部分內容：一條訪問控制列表、一個可用的變換集 和一對sa。 （4）安全策略組（加密映像） 具有相同名字的安全策略構成安全策略組，其是與使用ipsec的接口 一一對應的，從而實現(xiàn)在一個接口上同時應用一個安全策略組中的多 個安全策略，實現(xiàn)對不同的數(shù)據(jù)流進行不同的安全保護。在一個安全 策略組中，安全策略順序號越小，其優(yōu)先級越高。 一般情況下，一條數(shù)據(jù)流與一對sa相對應，一對sa又與一條安全策 略

23、相對應。一個安全策略組對應網(wǎng)關的一個接口，其中可以包含多條 安全策略。在cisco路由器中，安全策略組是通過加密映射命令crypto map命令來配置的，同一個安全策略組中的不同策略通過crypto map集 中的不同編號項來表示，所以又將安全策略組稱為加密映像。 例7.4 基于ipsec的vpn配置示例（網(wǎng)絡拓撲 如圖7.12所示） 某公司總部的路由器設為routera，兩個分 部的路由器分別為routerb和routerc，三個 部門均和互聯(lián)網(wǎng)相連。 圖7.12 基于ipsec的vpn示例拓撲 本案例中，互聯(lián)網(wǎng)采用路由器routerd代替，代替 后的等效拓撲圖如圖7.13所示。由于業(yè)務安全

24、需 要，要求將三個部門之間建立不同的安全通道。 每個安全通道要求進行數(shù)據(jù)加密和完整性驗證， 部門兩兩之間實現(xiàn)ipsec vpn的訪問 圖7.13 基于ipsec的vpn等效拓撲圖 步驟1：基本配置，其中routera、routerb和 routerc配置默認路由通往外部的internet， 主要命令請參閱5.2節(jié)內容。 步驟2：配置ike，包括啟用ike策略和驗證配置。 因為公司三個分布的路由器需要建立vpn，所以需要六對 sa，分別是routerarouterb（雙向兩對sa）、rouerarouerc（雙向兩對sa）、rouerbrouerc（雙向兩對 sa）。其中sa的協(xié)商和建立是由ik

25、e在isakmp體系框架內 完成的。 激活路由器上的ike協(xié)議。默認情況下，路由器上ike 是激活的。 routera(config)# crypto isakmp enable routerb(config)# crypto isakmp enable routerc(config)# crypto isakmp enable 配置ike參數(shù) 在routera上配置ike參數(shù)，配置內容如下所示： / 創(chuàng)建一個isakmp策略，每一個isakmp策略集合了ike配置參數(shù) routera (config)#crypto isakmp policy 100 / ike報文加密形式為預共享密鑰（其他

26、形式不再討論） routera (config- isakmp)#authentication pre-share / ike報文加密算法為3des算法 routera (config- isakmp)#encryption 3des / ike報文認證為md5算法 routera (config- isakmp)#hash md5 / 密鑰交換為diffie-hellman算法，group2代表該算法產(chǎn)生1024位素數(shù)， / group1代表該算法產(chǎn)生768位素數(shù) routera (config- isakmp)#group 2 / 在路由器上配置預共享密鑰和sa對等體，每對對等體的密鑰可以

27、不同，本案例為cisco， routera的sa對等體分別為routerb和routerc routera(config)#crypto isakmp key 0 cisco address 202.117.2.2 routera(config)#crypto isakmp key 0 cisco address 202.117.3.2 由于routera與routerb互為安全關聯(lián)對等實體，所以routerb中的ike配置參數(shù)必須和routera 中的一樣，routerb的配置內容如下所示： / 創(chuàng)建一個isakmp策略，策略編號每個路由器可以不同 routerb(config)#crypt

28、o isakmp policy 100 routerb(config-isakmp)#authentication pre-share routerb(config-isakmp)#encryption 3des routerb(config-isakmp)#hash md5 routerb(config-isakmp)#group 2 routerb(config-isakmp)#exit routerb(config)#crypto isakmp key 0 cisco address 202.117.1.2 routerb(config)#crypto isakmp key 0 cisc

29、o address 202.117.3.2 routerb(config)#exit routerb#write *jun 17 12:55:46.963: %sys-5-config_i: configured from console by console building configuration. ok 同理，routerc的ike配置內容如下所示： routerc(config)#crypto isakmp policy 100 routerc(config-isakmp)#authentication pre-share routerc(config-isakmp)#encryp

30、tion 3des routerc(config-isakmp)#hash md5 routerc(config-isakmp)#group 2 routerc(config-isakmp)#exit routerc(config)#crypto isakmp key 0 cisco address 202.117.1.2 routerc(config)#crypto isakmp key 0 cisco address 202.117.2.2 routerc(config)#exit routerc#write 步驟3：配置ipsec ike建立的安全連接是為了進行ipsec安全關聯(lián)的協(xié)商，

31、必須正確配置 vpn的ipsec參數(shù)才能保證vpn正常工作。ipsec配置內容包括創(chuàng)建加 密用的訪問控制列表、定義交換集，創(chuàng)建加密圖（crypto map）條目， 并且在接口上應用加密圖。 配置加密用的acl，加密acl用來指定那些離開本地路由器時必須 加密的流量。路由器只加密外出的acl允許的流量。如果路由器收到 對等體發(fā)來的應該加密而未加密的流量，數(shù)據(jù)將被丟棄。如果vpn正 常工作，兩個對等體站點的acl允許的流量都會被加密。 本案例中routera應該對所連接的私有網(wǎng)絡：192.168.1.0/24進行加密， 同樣，routerb和routerc也對所連接的私有網(wǎng)絡進行加密，這就需要在

32、三個路由中配置加密acl。 routera(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 routera(config)# access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 routerb(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 routerb(config)#access-lis

33、t 103 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 routerc(config)#access-list 103 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 routerc(config)#access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 在發(fā)起sa協(xié)商之前，兩個對等端需要統(tǒng)一參數(shù)，變換集就規(guī)定了 sa協(xié)商所需的參數(shù)。 在routera上配置ipsec的變換集，內容如下所示

34、： routera(config)#crypto ipsec transform-set seta-b esp-3des esp-md5-hmac routera(cfg-crypto-trans)#mode tunnel routera(cfg-crypto-trans)#exit routera(config)#crypto ipsec transform-set seta-c esp-3des esp-md5-hmac routera(cfg-crypto-trans)#mode tunnel routera(cfg-crypto-trans)#exit routera(config)#crypto ipsec security-association l