第五章 提升Cisco路由器的安全性.ppt

计算机网络技术培训教材 中国人民保险公司 目录 第一章Cisco路由器产品介绍第二章配置Cisco路由器第三章管理Cisco路由器第四章Cisco路由器故障排除第五章提升Cisco路由器的安全性第六章PICC网络范例 第五章提升Cisco路由器的安全性 访问控制列表将路由器建成堡垒主机SNMP 1访问控制列表 访问控制列表概述访问控制列表的功能按正确顺序创建访问控制列表访问控制列表分类标准访问控制列表扩展访问控制列表 访问控制列表概述 由于不同网段间的通信都要经过路由设备 因此路由器提供了通信流量的过滤能力 访问控制列表 ACL 是应用到路由器接口的指令列表 是一组连续的允许和拒绝的陈述语句的集合 ACL可基于源地址 目的地址 端口号等指示条件 ACL的定义是基于每一种协议的 访问控制列表的功能 a 限制网络流量 提高网络性能 b 提供了对流量的控制手段 c 提供网络访问的基本安全手段 例如 ACL允许某一主机访问你的网络 而阻止另一主机访问相同的网络 d 在路由器的接口处决定那种类型的通信流量被转发 那种类型的通信流量被阻塞 例如 你可以允许telnet通信流量被路由 同时拒绝所有ftp通信流量 访问控制列表的分类 访问控制列表分为两类 1 标准访问控制列表只能按源地址过滤2 扩展访问控制列表可以按源和目标地址与服务过滤 在旧版IOS中 访问表类型按编号定义 编号协议类型1 99IP标准100 199IP扩展新版IOS允许命名访问表 可以指定所生成访问表的类型 访问控制列表的配置任务 为创建一个访问控制列表 需执行下列任务 定义一个访问控制列表将访问控制列表应用到路由器的一个接口 配置标准访问控制列表 定义标准ACLRouter config access listaccess list number deny permit source source wildcard log 将ACL应用到某个端口Router config if ipaccess groupaccess list number in out InboundACL处理过程 OutboundACL处理过程 Source wildcard Source wildcard是用来辨识sourceip地址是否符合我们制定的规则 当source wildcard的位为1时 则是 don tcare 不关心 当source wildcard掩码的位为0时 则是 needmatch 需要匹配 当source wildcard掩码省略时 则是使用默认值0 0 0 0 any代表任何地址 表示sourceaddress0 0 0 0和sourcewildcard255 255 255 255 Source wildcard应用举例 例1 source 203 66 47 50source wildcard 0 0 0 0表示所有位必须符合 所以只有IP地址为203 66 47 50的符合 例2 source 203 66 47 0source wildcard 0 0 0 255表示只有前三组需符合 所以有一整个C级的IP地址符合 标准ACL配置举例 例1 允许源IP地址为203 66 47 50的数据包通过access list1permit203 66 47 500 0 0 0例2 允许源IP地址为203 66 47 X整个C级网络的数据包通过access list2permit203 66 47 00 0 0 255例3 拒绝源IP地址为203 66 47 50的数据包通过access list3deny203 66 47 50例4 拒绝源IP地址为203 66 47 X的整个C级网络的数据包通过 但允许其它任何IP数据包通过access list4deny203 66 47 00 0 0 255access list4permitany ACL配置规则 自上而下的顺序PlacemorespecificreferencesfirstACL的最后隐含地拒绝全部Unlessaccesslistendswithexplicitpermitany新ACL语句只能加到最后Cannotselectivelyadd removelines 标准ACL应用举例 标准ACL应用举例 续 例1 允许源网络地址为172 16 0 0的通信流量通过 access list1permit172 16 0 00 0 255 255 隐含access list1deny0 0 0 0255 255 255 255或access list1denyany interfaceethernet0ipaccess group1outinterfaceethernet1ipaccess group1out 标准ACL应用举例 续 例2 拒绝一个特定子网 172 16 4 0 的通信流量通过access list1deny172 16 4 000 0 0 255access list1permitany 隐含access list1deny0 0 0 0255 255 255 255或access list1denyany interfaceethernet0ipaccess group1out 扩展访问控制列表 扩展ACL提供了比标准ACL更广阔的控制范围 它既检查数据包的源地址 也检查数据包的目的地址 此外 还可以检查数据包的特定的网络协议类型 端口号等等 扩展ACL提供了更加精确的流量控制 扩展ACL使用的数字表号在100 199之间 配置扩展ACL 扩展ACL中 命令access list的完全语法格式为 Router config access listaccess list number deny permit protocolsouce souce wildcarddestinationdestination wildcard operatoroperand 扩展ACL配置实例 例1 拒绝FTP通信流量通过E0access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101permitip172 16 4 00 0 0 2550 0 0 0255 255 255 255 隐含denyanyany interfaceethernet0ipaccess group101out 2将路由器建成堡垒主机 控制台端口Telnet访问其它路由器访问方法 将路由器建成堡垒主机 保护控制台端口 路由器控制台缺省没有配置口令 可以用下列命令设置口令 sparky config lineconsole0sparky config line passwordciscosparky config line login要保护路由器控制台端口不被非法连接 将路由器建成堡垒主机 控制telnet访问 Cisco路由器提供vty0 vty4共5个虚终端地telnet访问 Cisco路由器缺省不对这些线路指定口令 在无口令的情况下 可防止任何人用虚终端登录 Router telnet10 1 1 3trying10 1 1 3 OpenPasswordrequired butnoneset Connectionto10 1 1 3closedbyforeignhost 可使用exec timeout命令设置超时控制 将路由器建成堡垒主机 控制telnet访问 续 可以用标准IP访问表控制允许哪个IP地址访问VTY线路 在vty端口应用ACL举例 sparky config access list30permit10 1 1 0 0 0 0 255sparky config access list31permit10 1 1 44 0 0 0 0sparky config linevty03sparky config line access class30insparky config linevty4sparky config line access class31in注意 我们用访问列表31配置VYT线路4 只让10 1 1 44进入 这样 如果遇到问题 则管理员可以用路由器上的这个VTY线路访问和检查问题 因为这个线路只有管理员的工作站才能访问 将路由器建成堡垒主机 http服务 缺省情况下 IOS12有个全局命令 iphttpserver 这个命令使路由器可以作为HTTP服务器用于配置 应使用noiphttpserver命令关闭此功能 以保证路由器的安全 如果真要使用Wed界面 则可以采取更安全的措施 使用httpport命令将HTTP服务移到缺省端口80之外 使不速之客不容易找到 SNMP的安全性 SNMP最大的问题是人们通常使用缺省通讯字符串名 只读字符串为pu