【网络安全与防护】-实训指导3.3-1基于思科路由器的ios防火墙防护功能配置（ios_fw）

国家高等职业教育网络技术专业教学资源库,计算机网络安全技术与实施,学习情境3：实训任务3.3,基于思科路由器的IOS防火墙防护功能配置（思科IOS的CBAC+ZPF特性集）,内容介绍,任务场景,1,任务相关工具软件介绍,2,任务设计、规划,3,任务实施及方法技巧,4,任务检查与评价,5,任务总结,6,任务场景,任务相关工具软件介绍,任务设计、规划,对于一些采用思科路由器接入外网中小型企业网络的接入控制，可以采用基于思科路由器IOS系统特性集的CBAC和ZONE-BASE FIREWALL功能实现对网络的防护与访问控制。,任务实施及方法技巧,CISCO IOS防火墙技术相关知识与原理 Cisco IOS防火墙的功能包括：加密、故障备份服务、认证、实时入侵检测和通过CBAC所实现的基于应用程序的过滤功能。由于标准和扩展访问列表工作于OSI模型的网络层或传输层，因此，他们处理一些应用程序的能力是有限的，基于状态的动态过滤技术可基于OSI模型的应用层来过滤数据包，从而增强其处理能力。 思科的IOS路由器防火墙技术大体分三类：包过滤：在思科路由器上的典型应用就是ACLALG应用层代理：一般需要第三方服务器实现状态监测包过滤：可基于CBAC或和ZPF实现（本任务重点针对此项技术实施） 凡是使用IOS系统的路由器大体可以实现第一种和第三种防火墙，包过滤防火墙就是传统意义上的ACL列表；状态监测包过滤防火墙就是IOS的CBAC防火墙或者ZBF防火墙。,任务实施及方法技巧,CISCO IOS防火墙技术相关知识与原理包过滤防火墙：在思科路由器上的典型应用就是ACL 无论是标准或扩展的ACL或命令ACL都是属于包过滤技术。ACL对于TCP流量有一个功能是叫做established，理解为记忆放过的包，自动放行回来的流量，这个其实在Linux的IPTables里面也有相应的功能，这个功能算是包过滤防火墙的延伸，这个功能是路由器自动把返回的流量也放过了，是一个方便用户的方式，不用用户在考虑返回的流量了。但这并不能说是真正意义上的状态监测包过滤技术。,任务实施及方法技巧,CISCO IOS防火墙技术相关知识与原理状态监测包过滤防火墙：可基于CBAC和或ZBF实现 状态监测包过滤是监测四层或更高的层的工作过程，因为有些协议会动态的协商出新的端口，状态监测包过滤可监测这种新端口，这种端口ACL是无法感知到的。 状态监测包过滤可以通过两种技术实现：Cisco IOS的CBAC（Context-based Access Control ）技术提供了基于接口的流量保护，可以在任意的接口上针对流量进行保护。Cisco IOS的ZPF（Zone-Based Policy Firewall）技术对原有的CBAC功能进行了增强，ZPF策略防火墙改变了老式的基于接口的配置模式，并且提供了更容易理解和更灵活的配置方法。接口需要加入区域，针对流量的审查策略在区域间内部生效。,任务实施及方法技巧,CISCO IOS防火墙技术相关知识与原理基于环境或上下文的访问控制CBAC(Context-based Access Control) Cisco IOS防火墙是Cisco IOS的一个组件，它可以提供Cisco PIX防火墙上的类似功能。它可以允许管理员在不购买单独防火墙的情况下，有效地对网络提供安全防护。 以前使用比较多的是标准访问列表和扩展访问列表，但这两种形式的列表都是静态的，即不在人为参与的情况下，系统不能根据实际情况的变化动态调整列表中的条目。但在实际工作中我们需要更灵活的方式，来提高系统的安全性，Cisco向提供了高级访问列表来满足这种需求。高级访问列表的基本要素是：它可以在不需要管理员介入的情况下自动对访问列表中的条目进行创建和删除。例如反射访问列表、动态访问列表、基于环境的访问控制CBAC(Context-based Access Control)等，都是在不对任何配置进行修改的情况下实时创建通道来提供访问机制，这些通道通常是作为对内网到外部所发出的访问请求进行响应而创建的。当启动通道的会话终止后，或当该通道闲置时间超过一个设定值后，则通道被关闭。 Cisco IOS防火墙（CBAC）提供了基于接口的流量保护，可以在任意的接口上针对流量进行保护。所有穿过这个接口的流量受到相同的审查策略的保护。这样就降低了防火墙策略实施的颗粒度，同时也给合理的实施防火墙策略造成了困难。,任务实施及方法技巧,CISCO IOS防火墙技术相关知识与原理Cisco IOS的ZPF（ Zone-Based Policy Firewall）技术 Cisco IOS的ZPF技术对原有的CBAC功能进行了增强，ZPF策略防火墙改变了老式的基于接口的配置模式，并且提供了更容易理解和更灵活的配置方法。接口需要加入区域，针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查，不同的审查策略可以应用在与路由器相同接口相连的多个组上。ZPF提供了状态型的包检测，URL过滤，对DOS攻击的减缓等功能，同时提供了多种协议的支持，例如HTTP,POP3,IMAP,SMTP,ESMTP,sun RPC,IM,P2P等协议。但是需要注意的是，以下特性ZPF暂时还不能支持：Authentication proxy；Stateful firewall failover；Unified firewall MIB；IPv6 stateful inspection；TCP outoforder support。,任务实施及方法技巧,CISCO IOS防火墙技术相关知识与原理Cisco IOS的ZPF（Zone-Based Policy Firewall）技术 与传统的IOS相比，ZPF完全改变了配置IOS防火墙的配置：第一点主要的改变是，ZPF是基于区域的配置。ZPF不在使用CBAC的命令。两种技术可以同时配置在路由器上，但是需要注意的是，这两种技术不能同时在接口上叠加。接口在加入了安全区域以后不能同时在该接口上配置ip inspect命令。ZPF默认的策略为拒绝所有流量。如果没有配置放行策略，那么所有在区域间进行转发的流量将会被拒绝。而cbac默认情况下允许转发所有的流量，除非通过使用ACL来对流量进行丢弃。,任务实施及方法技巧,CISCO IOS防火墙技术相关知识与原理Cisco IOS的ZPF（Zone-Based Policy Firewall）技术第二点主要的改变是ZPF的配置命令使用了MQC命令格式。可以使用更灵活的方式来定义ZPF的策略。下面只对命令介绍，详细的MQC语句的使用请自行参看文档。ZPF的策略规定如下：在为接口指定区域之前，必须先配置这个区域。一个接口只能被指定到一个区域内。当一个接口被指定了一个区域后，除了在相同的区域内从这个接口始发终结的流量，以及从该接口到其他本路由器接口的流量，默认允许转发外，其他关于这个接口的流量都隐式的拒绝。相同区域成员间的流量，默认转发如果要求流量从其他区域来或者到其他区域去，必须配置通信区域间允许策略或者审查策略。自身区域是唯一一个默认策略不是DENY的区域。从自身区域到任何区域的流量都是默认允许的，除非明确的配置了拒绝语句。流量不能在一个设置了区域成员的接口和一个没有加入区域的接口间转发。pass，inspect和drop行为只能在两个区域之间进行配置。一个没有加入任何区域的接口是可以使用CBAC特性的。根据上面所提到的相关问题，我们可以知道，如果流量要在这个路由器的所有接口间转发，那么所有的接口都必须是区域的成员。唯一一个例外是，到达或者从这个路由器始发的流量默认情况下是允许的（默认情况下路由器的自身接口属于self区域）。如果要限制这样的流量，则需要配置明确的限制策略。,任务实施及方法技巧,CISCO IOS防火墙技术相关知识与原理Cisco IOS的ZPF（Zone-Based Policy Firewall）技术 ZPF策略包括三种：pass，deny，intercept。Drop是默认行为，intercept是指对流量进行审查，返回流量通过查看路由器的 session表来决定是否允许进入。PASS行为不会跟踪连接的状态或者是流量的session。并且PASS策略只能允许单方向的流量通过。必须定义一个相对应返回流量的策略来允许返回流量进入。 同时ZPF对与VPN流量也进行了特别的定义，当VPN配置以后，路由器动态的生成一个名叫VTI的接口（virtual tunnel interface），如果我们需要对VPN流量进行bypass或者是审查时，我们可以通过将VTI接口加入不同的区域来进行区分。,任务实施及方法技巧,CISCO IOS防火墙技术-ZPF技术实验举例 本拓扑中主要分为以下几个区域，Private，DMZ和Internet区域，而Private区域内又包含Servers和clients两个区域。1. Clients到Servers区域需要进行TCP/UDP/ICMP的审查2. Private到DMZ区域需要进行SSH/FTP/POP/IMAP/ESMTP/HTTP的审查3. Internet到DMZ区域需要进行SMTP/HTTP/DNS需要进行审查，并限制能访问的主机4. Servers到Clients区域X-Windows协议需要进行审查，使用PAM来对端口进行定义5. Private到Internet区域需要进行HTTP/HTTPS/DNS/ICMP协议的审查。,任务实施及方法技巧,Clients,Internet,DMZ,SMTPHTTPDNS,HTTP、HTTPSDNS、ICMP,Servers,F0/0-1,内部网络Private,TCPUDPICMP,X-Windows,根据需求将该实验分为几个部分： 第一部分：初始配置zone security clientszone security serverszone security privatezone security internetzone security dmzbridgeirbbridge 1 protocol ieeebridge 1 route ipinterface FastEthernet0/0no ip addressbridgegroup 1interface FastEthernet0/1no ip addressbridgegroup 1interface BVI1ip address 54 interface FastEthernet1/0ip address interface FastEthernet1/1ip address 8 ,F1/0,F1/1,SSHFTPPOPIMAPESMTPHTTP,任务实施及方法技巧,Internet,HTTP、HTTPSDNS、ICMP,内部网络Private,第二部分：配置从Private区域到Internet区域的策略interface FastEthernet0/0 zonemember clients interface FastEthernet0/1 zonemember servers interface BVI1 zonemember private interface fastethernet1/1 zonemember security internet classmap type inspect matchany internettrafficclass match protocol http match protocol https match protocol dns match protocol icmp policymap type inspect privateinternetpolicy class type inspect internettrafficclass inspect zonepair security privateinternet source private destination internet servicepolicy type inspect privateinternetpolicy,F0/0-1,F1/0,F1/1,任务实施及方法技巧,第三部分：配置从Private区域到DMZ区域的策略interface fastethernet1/0zonemember security dmzclassmap type inspect matchany L7inspectclassmatch protocol sshmatch protocol ftpmatch protocol popmatch protocol imapmatch protocol esmtpmatch protocol httppolicymap type inspect privatedmzpolicyclass type inspect L7inspectclassInspectzonepair security privatedmz source private destination dmzservicepolicy type inspect privatedmzpolicy,Clients,Internet,DMZ,Servers,SSHFTPPOPIMAPESMTPHTTP,内部网络Private,F0/0-1,F1/0,F1/1,任务实施及方法技巧,第四部分：配置从Internet区域到DMZ区域的策略accesslist 110 permit ip any host accesslist 111 permit ip any host classmap type inspect matchany dnshttpclass match protocol dns match protocol http classmap type inspect matchany smtpclass match protocol smtp classmap type inspect matchall dnshttpaclclass match accessgroup 110 match classmap dnshttpclass classmap type inspect matchall smtpaclclass match accessgroup 111 match classmap smtpclass policymap type inspect internetdmzpolicy class type inspect dnshttpaclclass inspect class type inspect smtpaclclass inspect zonepair security internetdmz source internet destination dmz servicepolicy type inspect internetdmzpolicy,Clients,Internet,DMZ,SMTPHTTPDNS,Servers,内部网络Private,F0/0-1,F1/0,F1/1,任务实施及方法技巧,第五部分：配置servers到client区域的策略:ip portmap userXwindows port tcp from 6900 to 6910classmap type inspect matchany Xwindowsclassmatch protocol userXwindowspolicymap type inspect serversclientspolicyclass type inspect Xwindowsclassinspectzonepair security serversclients source servers destination clientsservicepolicy type inspect serversclientspolicy,Clients,Internet,DMZ,Servers,内部网络Private,X-Windows,F0/0-1,F1/0,F1/1,任务实施及方法技巧,第六部分：配置client到servers区域的策略: classmap type inspect matchany L4inspec