企业网络安全技术与实践

第 7章 企业网络安全技术与实践 7.1 访问控制列表的基本原理 访问控制列表 (ACL)是应用到路由器接口的指令列表，用来控制进出的数据包。该列表由一系列 permit(允许 )和deny(拒绝 )语句组成的有序的集合，通过匹配报文中的信息与访问控制列表参数可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。 ACL是根据网络中每个数据包所包含的信息和内容决定是否允许该信息包通过指定的接口，可以让网络管理员以基于数据报文的源 IP地址、目地 IP地址和应用类型的方式来控制网络中数据的流量及流向，通过接口的数据包都要按照访问控制列表的规则进行从上到下的顺序比较操作，直到符合规则被允许通过，否则被拒绝丢弃。 7.1.1 访问控制列表的概念及工作原理 1. ACL工作原理 选 择 接 口执 行 A C L可 路 由路 由 表项 目 比 较访 问 控 制 列 表允 许数 据 包是否是否是否是否数 据 包丢 弃图 7.1 访问控制列表工作原理 首 条 匹 配下 条 匹 配否末 条 匹 配否丢 弃否是是是允 许否是至 输 出 接 口图 7.2 访问控制列表表项匹配原理 2. 访问控制列表的分类 （ 1）标准访问控制列表 标准的 IP访问控制列表，只检查被路由的数据包的源地址，其结果是基于源网络 /子网 /主机 IP地址来决定是允许还是拒绝数据包。 标准访问控制列表的基本语法为： access-list standard permit/deny wildcardmask 其中： 1) 标识条目所属的列表，它是一个 1-99的数字标识； 2) permit/deny指明该条目是允许还是阻塞指定的地址； 3) source-address标识源 IP地址； 4) wildcardmask反向掩码标识哪些地址需进行匹配，默认反向掩码是0.0.0.0(匹配所有 )。如果反向掩码为： 0.0.0.255，则表示匹配的源地址掩码为 255.255.255.0。 （ 2）扩展访问控制列表 扩展的 IP访问控制列表，对数据包的源地址与目标地址均进行检查 ,它们也能够检查特定的协议、端口号及其他参数。 扩展访问控制列表基本语法： access-list protocol source-address source-wildcard operatorport destination-address destination-wildcard oper-ator port established log 其中： 1) 使用在 100199之间的一个数字标识； 2) permit/deny指明该条目是允许还是阻塞指定的地址； 3) protocol可以是 IP、 TCP、 UDP、 ICMP、 GRE或 IGRP； 4) source-address、 source-wildcard、 destination-address、 destination-wildcard代表源 /目标地址以及掩码； 5) operator port可以是 lt(小于 )、 gt(大于 )、 eq(等于 )、 neq(不等于 )加上一个端口号； 6) established只用于 TCP访问控制，该参数只影响 TCP连接三次握手中的第一次， ACL会对 TCP报文中的 ACK或 RST位进行检查，如果 ACK或 RST位被置位，则表示数据包是正在进行的会话的一部分，否则是正在进行的连接会话。 （ 3）基于名称的访问控制列表 不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好 ACL的规则后其中的某条需要修改，只能将全部 ACL信息都删除，也就是说修改一条或删除一条都会影响到整个 ACL列表。这一个缺点为网络管理人员带来了繁重的负担，所以可以用基于名称的访问控制列表来解决这个问题。 基于名称的访问控制列表的格式： ip access-list standard/extended 当建立基于名称的访问控制列表后，就可以添加或者修改访问控制规则。 （ 4）基于时间的访问控制列表 基于时间的访问控制列表在继承了扩展访问控制列表的基础上，引入了时间机制，可以在定制的时间段使扩展访问控制列表生效。 例 7.1 标准访问控制列表配置示例（网络拓扑如图7.3所示） 两台交换机 switchA为三层交换机，网络内共划分了两个 VLAN，分别为 VLAN100与 VLAN200，其中 PC1属于 VLAN100， PC2属于 VLAN200。两台交换机通过 trunk端口 fa0/1相连，使得 VLAN100与VLAN200可以通信。在 swithcB配置标准访问控制列表，使得 PC1与 PC2不能通信，但 PC1能访问switchA。 图 7.3 标准访问控制列表示例拓扑 （ 1）交换机的基本配置 划分 VLAN100与 VLAN200，并且开启 switchA的三层交换功能。主要配置内容如下： / switchB上划分 VLAN100与 VLAN200，并且将 PC1与 PC2分别划分进 VLAN1 swithB(config)#vlan 100 swithB(config-vlan)#exit swithB(config)#vlan 200 swithB(config-vlan)#exit swithB(config)#int range fa0/2 swithB(config-if)#switchport access vlan 100 swithB(config-if)#exit swithB(config)#int fa0/3 swithB(config-if)#switchport access vlan 200 swithB(config-if)#exit swithB(config)#exit %SYS-5-CONFIG_I: Configured from console by console swithB#conf t /将 fa0/1接口链路配置成 trunk链路，封装协议为 IEEE802.1q标准 swithB(config)#int fa0/0 swithB(config-if)#switchport trunk encapsulation dot1q swithB(config-if)#switchport mode trunk swithB(config-if)#switchport trunk allowed vlan all swithB(config-if)#end swithB#write Building configuration. OK switchA(config)#int fa0/1 /将 fa0/1接口链路配置成 trunk链路，封装协议为 IEEE802.1q标准 switchA(config-if)#switchport trunk encapsulation dot1q switchA(config-if)#switchport mode trunk switchA(config-if)#switchport trunk allowed vlan all switchA(config-if)#exit /switchA上划分 VLAN100与 VLAN200 switchA(config)#vlan 100 switchA(config-vlan)#exit switchA(config)#vlan 200 switchA(config-vlan)#exit switchA(config)#int vlan100 %LINK-5-CHANGED: Interface Vlan100, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to switchA(config-if)#ip address 192.168.100.1 255.255.255.0 switchA(config-if)#no shu switchA(config-if)#exit switchA(config)#int vlan200 %LINK-5-CHANGED: Interface Vlan200, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan200, changed state to up switchA(config-if)#ip address 192.168.200.2 255.255.255.0 switchA(config-if)#exit switchA(config)#exit %SYS-5-CONFIG_I: Configured from console by console switchA#write Building configuration. OK （ 2）配置标准访问控制列表 switchB#conf t Enter configuration commands, one per line. End with CNTL/Z. switchB(config)#ip access-list standard test / 定义一个名称标准访问控制列表 test switchB(config-std-nacl)#deny host 192.168.200.2 / 第一条拒绝 pc2数据源 / 第二条允许所有访问，因为默认最后一条为拒绝所有访问， / 如果无此条，将拒绝所有访问 switchB(config-std-nacl)#permit any switchB(config-std-nacl)#exit switchB(config)#int f0/1 switchB(config-if)#ip access-group test in switchB(config-if)#end switchB# 01:04:22: %SYS-5-CONFIG_I: Configured from console by console （ 3）结果测试 首先在 pc1上执行 ping命令，测试到 pc2的连通性，请求数据包被 ACL阻止，执行结果如下所示： Pc1#ping 192.168.200.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.200.2, timeout is 2 seconds: . Success rate is 0 percent (0/5) 随后在 pc1上执行 ping命令测试到 switchA的连通性，连通正常，结果如下所示： Pc1#ping 192.168.200.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds: ! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 7.2 VPN技术与应用 7.2.1 VPN的概念 VPN是英文 Virtual Private Network的缩写，一般译为虚拟专用网络，或者虚拟专网。现已被人们作为一个专门的术语来接受。对于术语 VPN指的是依靠服务提供商（ ISP）和其它网络服务提供商，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 Internet工程任务组（ Internet Engineer Task Force， IETF）草案将基于 IP的 VPN理解为：“使用 IP机制仿真出一个私有的广域网”，它是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用 Internet公共数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络， VPN示意图如图 7.8所示。 广 域 网图 7.8VPN示意图 1. VPN的功能 1) 基于公钥基础设施（ PKI）的用户版权体系 2) 身份验证和数据加密 3) 数据完整性保护 4) 提供访问控制 2. VPN的分类 1）按业务分类 2）按 VPN在网络中实现的位置分类 3. VPN的主要技术 1）隧道技术 2）密码技术 3）身份认证技术 4）密钥管理技术 7.2.2 IPSec协议 1. IPSec体系结构 IPSec（ IP Security）是 IETF IPSec工作组为了在 IP层提供通信安全而制定的一套协议族。它包括安全协议部分和密钥协商部分，安全协议部分定义了对通信的安全保护机制；密钥协商部分定义了如何为安全协议协商保护参数，以及如何对通信实体的身份进行鉴别。 IPSec主要由认证头协议 (AH)、封装安全载荷协议(ESP)和因特网密钥交换协议 (IKE)三部分组成，各个协议之间的关系如图 7.9所示。 体 系解 释 域安 全 策 略密 钥 管 理加 密 和 认 证 算 法认 证 头封 装 安 全 载 荷图 7.9 IPSec体系结构 AH为 IP数据包提供无连接的数据完整性和数据源身份认证，同时具有抗重放攻击的能力。数据完整性校验通过消息认证码来保证，数据源身份认证通过在待认证数据中加入一个共享密钥来实现， AH报头中的序列号可以防止重放攻击。 ESP为数据包提供保密性、完整性、数据源身份认证和抗重放攻击保护。其中数据的保密性是 ESP的基本功能，而数据源身份认证、数据完整性以及抗重放攻击保护都是可选服务。 解释域 (DOI)将所有的 IPSec协议捆绑在一起，是 IPSec参数的重要数据库。 密钥管理包括 IKE协议和安全关联 SA部分。 IKE负责密钥协商，密钥管理以及在通信系统之间建立安全关联，是一个产生和交换密钥材料并协商 IPSec参数的框架。 IKE将密钥协商的结果保留在 SA条目中，供AH和 ESP以后通信使用。 安全策略负责哪些通信数据允许加密和认证，其由访问控制列表控制。 2. 配置 IPSec的相关概念 （ 1）数据流 一组具有相同源网络地址 /掩码、目的网络地址 /掩码和上层协议的数据集合称为数据流。通常采用一个扩展访问控制列表 ACL来定义数据流，其中允许通过的所有报文在逻辑上作为一个数据流。注意， IPSec能够对不同的数据流施加不同的安全保护，也就是说对不同的数据流使用不同的安全协议、算法或密钥，因此可以在一个网关中定义多个 ACL。 （ 2）变换集（ Transform Set） 变换集为一组数据流安全参数的配置集合，包括 SA使用的安全协议（ AH或者 ESP）、安全协议使用的算法（验证和加密算法）、安全协议对报文的封装形式（隧道模式或传送模式）。 （ 3） 安全策略 一条安全策略由“名字”和“顺序号”标识。规定对一组数据流采用什么样的安全措施，安全策略的功能是通过调用变换集实现的。一条安全策略包含三部分内容：一条访问控制列表、一个可用的变换集和一对 SA。 （ 4）安全策略组（加密映像） 具有相同名字的安全策略构成安全策略组，其是与使用 IPSec的接口一一对应的，从而实现在一个接口上同时应用一个安全策略组中的多个安全策略，实现对不同的数据流进行不同的安全保护。在一个安全策略组中，安全策略顺序号越小，其优先级越高。 一般情况下，一条数据流与一对 SA相对应，一对 SA又与一条安全策略相对应。一个安全策略组对应网关的一个接口，其中可以包含多条安全策略。在 Cisco路由器中，安全策略组是通过加密映射命令 crypto map命令来配置的，同一个安全策略组中的不同策略通过 crypto map集中的不同编号项来表示，所以又将安全策略组称为加密映像。 例 7.4 基于 IPSec的 VPN配置示例（网络拓扑如图 7.12所示） 某公司总部的路由器设为 RouterA，两个分部的路由器分别为 RouterB和 RouterC，三个部门均和互联网相连。 图 7.12 基于 IPSec的 VPN示例拓扑 本案例中，互联网采用路由器 routerD代替，代替后的等效拓扑图如图 7.13所示。由于业务安全需要，要求将三个部门之间建立不同的安全通道。每个安全通道要求进行数据加密和完整性验证，部门两两之间实现 IPSec VPN的访问 。 图 7.13 基于 IPSec的 VPN等效拓扑图 步骤 1：基本配置，其中 routerA、 routerB和routerC配置默认路由通往外部的 internet，主要命令请参阅 5.2节内容。 步骤 2：配置 IKE，包括启用 IKE策略和验证配置。 因为公司三个分布的路由器需要建立 VPN，所以需要六对SA，分别是 routerArouterB（双向两对 SA）、 rouerArouerC（双向两对 SA）、 rouerBrouerC（双向两对SA）。其中 SA的协商和建立是由 IKE在 isakmp体系框架内完成的。 激活路由器上的 IKE协议。默认情况下，路由器上 IKE是激活的。 routerA(config)# crypto isakmp enable routerB(config)# crypto isakmp enable routerC(config)# crypto isakmp enable 配置 IKE参数 在 routerA上配置 IKE参数，配置内容如下所示： / 创建一个 isakmp策略，每一个 isakmp策略集合了 IKE配置参数 routerA (config)#crypto isakmp policy 100 / IKE报文加密形式为预共享密钥（其他形式不再讨论） routerA (config- isakmp)#authentication pre-share / IKE报文加密算法为 3des算法 routerA (config- isakmp)#encryption 3des / IKE报文认证为 md5算法 routerA (config- isakmp)#hash md5 / 密钥交换为 Diffie-Hellman算法， group2代表该算法产生 1024位素数， / group1代表该算法产生 768位素数 routerA (config- isakmp)#group 2 / 在路由器上配置预共享密钥和 SA对等体，每对对等体的密钥可以不同，本案例为 cisco， routerA的 SA对等体分别为 routerB和 routerC routerA(config)#crypto isakmp key 0 cisco address 202.117.2.2 routerA(config)#crypto isakmp key 0 cisco address 202.117.3.2 由于 routerA与 routerB互为安全关联对等实体，所以 routerB中的 IKE配置参数必须和 routerA中的一样， routerB的配置内容如下所示： / 创建一个 isakmp策略，策略编号每个路由器可以不同 routerB(config)#crypto isakmp policy 100 routerB(config-isakmp)#authentication pre-share routerB(config-isakmp)#encryption 3des routerB(config-isakmp)#hash md5 routerB(config-isakmp)#group 2 routerB(config-isakmp)#exit routerB(config)#crypto isakmp key 0 cisco address 202.117.1.2 routerB(config)#crypto isakmp key 0 cisco address 202.117.3.2 routerB(config)#exit routerB#write *Jun 17 12:55:46.963: %SYS-5-CONFIG_I: Configured from console by console Building configuration. OK 同理， routerC的 IKE配置内容如下所示： routerC(config)#crypto isakmp policy 100 routerC(config-isakmp)#authentication pre-share routerC(config-isakmp)#encryption 3des routerC(config-isakmp)#hash md5 routerC(config-isakmp)#group 2 routerC(config-isakmp)#exit routerC(config)#crypto isakmp key 0 cisco address 202.117.1.2 routerC(config)#crypto isakmp key 0 cisco address 202.117.2.2 routerC(config)#exit routerC#write 步骤 3：配置 IPSec IKE建立的安全连接是为了进行 IPSec安全关联的协商，必须正确配置VPN的 IPSec参数才能保证 VPN正常工作。 IPSec配置内容包括创建加密用的访问控制列表、定义交换集，创建加密图（ crypto map）条目，并且在接口上应用加密图。 配置加密用的 ACL，加密 ACL用来指定那些离开本地路由器时必须加密的流量。路由器只加密外出的 ACL允许的流量。如果路由器收到对等体发来的应该加密而未加密的流量，数据将被丢弃。如果 VPN正常工作，两个对等体站点的 ACL允许的流量都会被加密。 本案例中 routerA应该对所连接的私有网络： 192.168.1.0/24进行加密，同样， routerB和 routerC也对所连接的私有网络进行加密，这就需要在三个路由中配置加密 ACL。 routerA(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 routerA(config)# access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 routerB(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 routerB(config)#access-list 103 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 routerC(config)#access-list 103 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 routerC(config)#access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 在发起 SA协商之前，两个对等端需要统一参数，变换集就规定了SA协商所需的参数。 在 routerA上配置 IPSec的变换集，内容如下所示： routerA(config)#crypto ipsec transform-set setA-B esp-3des esp-md5-hmac routerA(cfg-crypto-trans)#mode tunnel routerA(cfg-crypto-trans)#exit routerA(config)#crypto ipsec transform-set setA-C esp-3des esp-md5-hmac routerA(cfg-crypto-trans)#mode tunnel routerA(cfg-crypto-trans)#exit routerA(config)#crypto ipsec security-association