實(shí)訓(xùn)指導(dǎo)3.1-1基于路由器配置基本防護(hù)功能講解

網(wǎng)絡(luò)安全學(xué)習(xí)情境3：實(shí)訓(xùn)任務(wù)3.1基于路由器配置基本防護(hù)功能（PT+IOS）內(nèi)容介紹

任務(wù)場景1任務(wù)相關(guān)工具軟件介紹2任務(wù)設(shè)計(jì)、規(guī)劃3任務(wù)實(shí)施及方法技巧4任務(wù)檢查與評價(jià)5任務(wù)總結(jié)6任務(wù)場景任務(wù)相關(guān)工具軟件介紹任務(wù)設(shè)計(jì)、規(guī)劃對于一些小型企業(yè)網(wǎng)絡(luò)的接入控制，可以通過基本的包過濾加以實(shí)現(xiàn)任務(wù)實(shí)施及方法技巧防火墻相關(guān)知識嚴(yán)峻的網(wǎng)絡(luò)安全形勢，促進(jìn)了防火墻技術(shù)的不斷發(fā)展。防火墻是一種綜合性的科學(xué)技術(shù)，涉及網(wǎng)絡(luò)通信、數(shù)據(jù)加密、安全決策、信息安全、硬件研制、軟件開發(fā)等綜合性課題。在建筑中，防火墻是用于防止一側(cè)起火而引起另一側(cè)起火而設(shè)置的一道屏障。網(wǎng)絡(luò)中的防火墻也是由此引申面來的。由軟件和硬件組成的防火墻應(yīng)該具有以下功能：所有進(jìn)出網(wǎng)絡(luò)的通信數(shù)據(jù)流都應(yīng)該通過防火墻。所有穿過防火墻的通信數(shù)據(jù)流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)。理論上說，防火墻是穿不透的，但是由于其自身的漏洞或缺陷也是可能被攻擊的。任務(wù)實(shí)施及方法技巧

Internet防火墻路由器LANWANISP交換機(jī)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)任務(wù)實(shí)施及方法技巧

任務(wù)實(shí)施及方法技巧

防火墻定義：

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是一個(gè)位于計(jì)算機(jī)與網(wǎng)絡(luò)或網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的軟件或硬件設(shè)備或是軟硬件結(jié)合，防火墻是作為Internet的第一道防線，是把內(nèi)部網(wǎng)和公共網(wǎng)分隔的特殊網(wǎng)絡(luò)互連設(shè)備，可以用于網(wǎng)絡(luò)用戶訪問控制、認(rèn)證服務(wù)、數(shù)據(jù)過濾等。防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。它是網(wǎng)絡(luò)邊界上訪問控制設(shè)施。根據(jù)預(yù)先定義的策略控制穿過防火墻的信息流通。任務(wù)實(shí)施及方法技巧

防火墻是一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。如圖所示。任務(wù)實(shí)施及方法技巧

防火墻技術(shù)的發(fā)展：第一代防火墻：采用了包過濾（PacketFilter）技術(shù)。第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。任務(wù)實(shí)施及方法技巧

設(shè)置防火墻的目的：確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)和內(nèi)部網(wǎng)的安全；所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)的信息交流必須經(jīng)過防火墻；只有按本地的安全策略被授權(quán)的信息才允許通過；防火墻本身具有防止被穿透的能力。任務(wù)實(shí)施及方法技巧

防火墻的功能：防火墻是網(wǎng)絡(luò)安全的屏障，防火墻是一個(gè)安全策略的檢查站。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。防火墻能有效地記錄因特網(wǎng)上的活動，對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)防止內(nèi)部信息的外泄，防火墻限制暴露用戶點(diǎn)。防火墻的作用：過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包；管理進(jìn)出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的訪問行為；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。任務(wù)實(shí)施及方法技巧

防火墻的局限性或不足之處不能防范惡意的知情者。防火墻不能防范不通過它的連接--防火墻防外不防內(nèi)。防火墻不能防備全部的威脅，防火墻只實(shí)現(xiàn)了粗粒度的訪問控制。防火墻不能防范病毒，無法防止數(shù)據(jù)驅(qū)動型攻擊。防火墻難于管理和配置，易造成安全漏洞。很難為用戶在防火墻內(nèi)外提供一致的安全策略。防火墻的局限性不止防火墻不能防止通向站點(diǎn)的后門。防火墻一般不提供對內(nèi)部的保護(hù)。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或者將該類程序附在電子郵件上傳輸。還有防火墻本身的缺陷。任務(wù)實(shí)施及方法技巧

防火墻類型1--包過濾型包過濾路由器基本的思想很簡單：對于每個(gè)進(jìn)來的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包；往往配置成雙向的。包過濾路由器如何過濾：過濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎(chǔ)，包括源和目標(biāo)IP地址、IP協(xié)議域、源和目標(biāo)端口號。過濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定。如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄。如果所有規(guī)則都不匹配，則根據(jù)缺省策略。安全缺省策略兩種基本策略，或缺省策略：沒有被拒絕的流量都可以通過：管理員必須針對每一種新出現(xiàn)的攻擊，制定新的規(guī)則。沒有被允許的流量都要拒絕：比較保守，根據(jù)需要，逐漸開放。任務(wù)實(shí)施及方法技巧

包過濾技術(shù)在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測，并沒有考慮連接狀態(tài)信息。通常在路由器上實(shí)現(xiàn)，實(shí)際上是一種網(wǎng)絡(luò)的訪問控制機(jī)制。優(yōu)點(diǎn)：實(shí)現(xiàn)簡單、對用戶透明、效率高缺點(diǎn)：正確制定規(guī)則并不容易、不可能引入認(rèn)證機(jī)制舉例：ipchains和iptablesIpchains的用法示例：ipchains-Ainput-ieth0-s/24-jDENYipchains-Ainput-ptcp-d92/26any-y–ieth0-jDENYipchains–Ainput–ptcp–d5480-ieth0–jACCEPT任務(wù)實(shí)施及方法技巧

此處實(shí)驗(yàn)可以用ACL在PT中完成。往外包的特性(用戶操作信息)IP源是內(nèi)部地址目標(biāo)地址為serverTCP協(xié)議，目標(biāo)端口23源端口>1023連接的第一個(gè)包ACK=0，其他包ACK=1往內(nèi)包的特性(顯示信息)IP源是server目標(biāo)地址為內(nèi)部地址TCP協(xié)議，源端口23目標(biāo)端口>1023所有往內(nèi)的包都是ACK=1B樓C樓E樓F樓G樓賓館學(xué)生公寓路由器某職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)拓?fù)鋱D任務(wù)實(shí)施及方法技巧ACL簡介（1）

ACL技術(shù)產(chǎn)生背景網(wǎng)絡(luò)中數(shù)據(jù)流的多樣性，用戶要求對某些特定的數(shù)據(jù)流采取特殊的策略，需要一種工具來挑選感興趣的數(shù)據(jù)流：只允許特定的主機(jī)訪問服務(wù)器限制FTP流量占用的帶寬過濾某些路由信息（2）什么是

ACL？

AccessControllist（訪問控制列表），ACL是網(wǎng)絡(luò)設(shè)備處理數(shù)據(jù)包轉(zhuǎn)發(fā)的一組規(guī)則，網(wǎng)絡(luò)設(shè)備利用這組規(guī)則來決定數(shù)據(jù)包允許轉(zhuǎn)發(fā)還是拒絕轉(zhuǎn)發(fā)。任務(wù)實(shí)施及方法技巧ACL簡介（3）ACL過濾依據(jù)源IP地址目的IP地址MAC地址協(xié)議應(yīng)用類型任務(wù)實(shí)施及方法技巧ACL簡介（4）ACL組成由一組具有相同編號或者名字的訪問控制規(guī)則組成（ACL規(guī)則）規(guī)則中定義檢查字段由Permit/deny定義執(zhí)行的動作（5）ACL工作原理通過編號或者名字調(diào)用ACL網(wǎng)絡(luò)設(shè)備根據(jù)ACL規(guī)則檢查報(bào)文，并采取相應(yīng)操作任務(wù)實(shí)施及方法技巧ACL簡介（6）ACL匹配規(guī)則自上而下當(dāng)報(bào)文匹配某條規(guī)則后，將執(zhí)行操作，跳出匹配過程細(xì)化的語句放在前面缺省最后隱含一條“denyany”的規(guī)則（一個(gè)ACL中至少要有一條Permit規(guī)則）（7）ACL規(guī)則修改：全局模式下編號ACL規(guī)則的修改新規(guī)則添加到ACL的末尾無法單獨(dú)刪除某條規(guī)則建議：導(dǎo)出配置文件進(jìn)行修改將ACL規(guī)則復(fù)制到編輯工具進(jìn)行修改刪除所有ACL規(guī)則重新編寫任務(wù)實(shí)施及方法技巧ACL簡介（8）ACL處理方法在創(chuàng)建訪問控制列表之后，必須將其應(yīng)用到某個(gè)接口才可開始生效。ACL控制的對象是進(jìn)出接口的流量。所謂的入站或出站，總是相對路由器來說的。進(jìn)入路由器接口的流量稱為入站流量，流出接口的則稱為出站流量。數(shù)據(jù)包到達(dá)接口時(shí)，路由器會檢查以下參數(shù)：是否有針對該接口的ACL？該ACL控制的是入站流量還是出站流量？此流量是否符合允許或拒絕的條件？任務(wù)實(shí)施及方法技巧

防火墻包過濾實(shí)驗(yàn)2任務(wù)實(shí)施及方法技巧（2）定義的字段

對于允許或拒絕IP流量的訪問列表，標(biāo)識號的范圍是1到99和1300到1999。（1）標(biāo)號范圍根據(jù)數(shù)據(jù)包的源IP地址過濾數(shù)據(jù)包標(biāo)準(zhǔn)ACL任務(wù)實(shí)施及方法技巧

access-list[access-list-number][deny|permit][sourceaddress]

[source-wildcard]

[log]刪除ACL：noaccess-list[listnumber]

ACL的應(yīng)用：將ACL指派到一個(gè)或多個(gè)接口，指定是入站流量還是出站流量。盡可能靠近目的地址應(yīng)用標(biāo)準(zhǔn)ACL。(config-if)#ipaccess-groupaccesslistnumber[in|out]要從接口中刪除ACL而不破壞ACL，使用noipaccess-groupinterface命令。（3）基本配置標(biāo)準(zhǔn)ACL任務(wù)實(shí)施及方法技巧標(biāo)準(zhǔn)ACL①通配符掩碼指定了路由器在匹配地址時(shí)檢查哪些位忽略哪些位②通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位，這與子網(wǎng)掩碼中的意義是完全不同的③舉例計(jì)算表示下列網(wǎng)絡(luò)中的所有節(jié)點(diǎn)的通配符掩碼：

答案：55這個(gè)通配符掩碼與C類地址的子網(wǎng)掩碼正好相反在本例中，根據(jù)通配符掩碼中為0的位，比較數(shù)據(jù)包的源地址和控制的IP地址中相關(guān)的各個(gè)位，當(dāng)每位都相同時(shí)，說明兩者匹配④通配符掩碼

要求IP地址的所有32個(gè)比特位均應(yīng)完全匹配，作用等同于host參數(shù)。⑤通配符掩碼55，是過濾所有主機(jī)，作用等同于any。（4）通配符掩碼（wildcard）任務(wù)實(shí)施及方法技巧（2）定義的字段

不僅可以根據(jù)源IP地址過濾，也可根據(jù)目的IP地址、協(xié)議和端口號過濾流量。擴(kuò)展ACL的編號范圍是100到199和2000到2699。（1）標(biāo)號范圍擴(kuò)展ACL任務(wù)實(shí)施及方法技巧擴(kuò)展ACLaccess-listaccess-list-number{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport][log]舉例：某公司有一臺地址為5的服務(wù)器。該公司有以下要求：允許訪問

局域網(wǎng)中的所有主機(jī)允許訪問主機(jī)拒絕訪問

局域網(wǎng)中的所有主機(jī)允許訪問企業(yè)中的所有其它主機(jī)

access-list100perip55host5access-list100perhost55host5access-list100denyip55host5access-list100peripanyany（3）基本配置任務(wù)實(shí)施及方法技巧命名ACLR(config)#ipaccess-list{standard|extended}nameR(config-ext-nacl)#{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport][log]在接口上引用此名稱即可，也可以配合NAT、VTY等訪問被引用。

命名ACL是以列表名稱代替列表編號來定義ACL，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表。命名ACL還可以被用來從某一特定的ACL中刪除個(gè)別的控制條目，這樣可以使網(wǎng)絡(luò)管理員方便修改ACL。任務(wù)實(shí)施及方法技巧ACL配置（基于長春辦事處接入路由器配置）實(shí)例1：配合NAT轉(zhuǎn)換實(shí)例2：拒絕無線用戶訪問外網(wǎng)實(shí)例3：過濾BOGONS網(wǎng)段實(shí)例4：過濾典型病毒攻擊任務(wù)實(shí)施及方法技巧ACL配置實(shí)例1：配合NAT轉(zhuǎn)換//定義一個(gè)訪問標(biāo)準(zhǔn)控制列表Z_R(config)#access-list10permit55Z_R(config)#access-list10denyany//默認(rèn)規(guī)則，可省略//定義基于接口的NAT超載轉(zhuǎn)換，并分別在接口下定義好NAT內(nèi)部與外部接口Z_R(config)#ipnatinsidesourcelist10interfaceFastethernet0/0overloadZ_R(config)#interfacefastethernet0/0Z_R(config-if)#ipnatoutside//設(shè)置此接口為NAT轉(zhuǎn)換的外部網(wǎng)絡(luò)接口，即公網(wǎng)接口Z_R(config)#interfacefastethernet0/1Z_R(config-if)#ipnatinside任務(wù)實(shí)施及方法技巧ACL配置實(shí)例2：拒絕無線用戶訪問外網(wǎng)拒絕無線用戶（-4）訪問外網(wǎng)Z_R(config)#access-list11denyZ_R(config)#access-list11denyZ_R(config)#access-list11permit55Z_R(config)#access-list11denyanyZ_R(config)#interfacefastethernet0/1Z_R(config-if)#ipaccess-group11in任務(wù)實(shí)施及方法技巧ACL配置實(shí)例3：過濾BOGONS網(wǎng)段定義一個(gè)訪問擴(kuò)展控制列表bogonsZ_R(config)#ipaccess-listextendedbogonsZ_R(config-ext-nac1)#remarkunassignedianaaddressesZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#permitipanyanyZ_R(config-ext-nac1)#exit接口應(yīng)用Z_R(config)#interfaceFastethernet0/0Z_R(config-if)#ipaccess-groupbogonsinZ_R(config-if)#