演示：CBAC的配置和ACL部分试题分析

第10章实施网络安全任务10.3.4演示：基于上下文的访问控制（IOS防火墙的配置）思科IOS防火墙是属于思科IOS系统的一个重要安全特性，它被集成到思科路由器中，作为一个安全特性功能体现。虽然IOS防火墙只是IOS系统的一个特性集，但是它并不逊色于安全市场上某些专业级防火墙。思科基于IOS的防火墙组件包括：进行常规包过滤的访问控制列表、动态访问控制列表、日志系统、实时报警、审计系统、入侵检测系统、基于上下文的访问控制列表及NAT翻译系统等。本书主要讨论IOS防火墙组件中的基于上下文的访问控制列表（CBAC）。由于基于IOS的防火墙是路由器的一个特性集且功能强大，所以有较高的性价比，在不同的子网边界设置基于IOS的防火墙是一个良好的安全策略。任务10.3.4理解基于思科IOS防火墙的典型技术CBAC的工作原理以前使用比较多的是标准访问控制列表和扩展访问控制列表，这两种形式的列表都是静态的ACL过滤方式。这种静态的过滤方式在没有人工参与的情况下，系统不能根据实际情况的变化，动态调整ACL中的过滤条目。但在实际工作中往往需要更灵活的方式来提高系统的安全性，于是在思科的安全解决方案中提供了高级访问控制列表，以满足这样的需求。高级访问控制列表的基本要素是：在不需要管理员干预的情况下，自动对访问控制列表中的条目进行创建和删除，例如，自反访问控制列表、动态访问控制列表、基于上下文的访问控制CBAC（Context-BasedAccessControl）等，都是在不对任何配置进行修改的情况下实时创建通道来提供访问机制的。这些通道通常是为了响应内部网络向外部网络发出的访问请求而创建的，当启动通道的会话终止，或者该通道闲置时间超过一个设定值后，通道将被关闭。IOS防火墙的工作原理示意图如图10.29所示。建议启动CBAC时在防火墙的外部接口上拒绝所有的进入内部网络的流量，这样可以保证从Internet发向内部网络的主动连接全部被拒绝，当然在这些主动连接的会话中也包括攻击流量。任务10.3.4图10.29IOS防火墙的工作原理示意图任务10.3.4首先由内部网络中的主机向外部网络发起某项服务的主动连接请求。启动思科IOS防火墙的路由器将内部网络发来的连接进行“出方向”审计，根据思科IOS防火墙的安全自适应算法，打乱用于重组TCP数据包的序列号，并记录TCP数据包的初始标记状态。基于IOS的防火墙转发连接到外部网络的目标地址。外部网络返回的应答数据到达IOS防火墙，在正常情况下，IOS防火墙的外部接口应该拒绝所有从外部网络主动流向防火墙内部的流量。此时基于IOS的防火墙会检查先前连接的出方向审计状态，查看数据是否符合内部网络主动发起并由外部网络回应到内部的连接，其中包括数据“连接状态”及“连接标记”的合法性。如果检测成功，那么基于IOS的防火墙会在外部网络接口上打开一个临时的会话隧道，让数据返回到内部网络。该会话隧道在外部网络接口的访问控制列表生效之前被执行，优先于常规的访问控制列表。基于IOS的防火墙将数据返回给内部网络中的主机。任务10.3.4CBAC与自反ACL的区别通过上面对CBAC工作原理的描述，它看上去和自反ACL的工作原理很相似，那么，它们的区别在哪里？CBAC能在应用层协议的基础上增强全安性，能够智能地识别会话，特别是在会话协商阶段端口发生变化的应用层协议，比如主动FTP，关于这一点自反ACL是无法识别主动FTP的，但是CBAC能做到。此外，CBAC还能配置更多的安全组件功能协同工作，比如：Java小程序的过滤、设定TCP半开会话的数量、UDP的超时，并提供监视与消息发送功能，关于这些功能，单纯的自反ACL是无法满足的。简而言之、CBAC比自反ACL的安全联动性更强，识别方式更智能，控制和过滤方式更广泛。注意：CBAC（Context-BasedAccessControl）只是IOS防火墙技术中的一种典型应用，一个完整的IOS防火墙还包括入侵检测、拒绝服务式攻击检测、阻塞Java程序、实时报警和审计跟踪、事件日志记录、NAT等应用，所以不能将CBAC看成一个完整的IOS防火墙，这是一个误区。任务10.3.4演示：思科IOS防火墙的基本配置演示目标：思科IOS防火墙上CBAC控制列表的基本配置。演示环境：如图10.30所示。演示背景：如图10.30所示的环境，在路由器上配置基于IOS的防火墙功能CBAC，将网络划分成外部网络（非安全区域）和内部网络（安全区域）；然后在基于IOS防火墙的路由器的外部接口上拒绝所有的TCP、UDP、ICMP流量，在没有启动CBAC时测试内外网络的连通性状况；最后在启动CBAC之后再来测试内外网络的连通性状况，体会CBAC的工作过程与应用效果。而在这个过程中，用户需要注意的是CBAC在接口上的应用方向。演示步骤：图10.30关于CBAC的实验环境任务10.3.4完成实验所需要的基础配置，然后配置基于思科IOS防火墙的CBAC功能，具体配置包括：接口IP地址的配置、路由协议的启动，并在IOS防火墙的外部拒绝所有的TCP、UDP、ICMP流量进入防火墙的E1/0接口（该接口为CBAC的外部网络接口）。具体配置如下。关于IOS防火墙上的基础配置：interfaceEthernet1/0ipaddressipaccess-group101ininterfaceEthernet1/1ipaddressaccess-list101denytcpanyanyaccess-list101denyudpanyanyaccess-list101denyicmpanyany任务10.3.4完成实验所需要的基础配置，然后配置基于思科IOS防火墙的CBAC功能，具体配置包括：接口IP地址的配置、路由协议的启动，并在IOS防火墙的外部拒绝所有的TCP、UDP、ICMP流量进入防火墙的E1/0接口（该接口为CBAC的外部网络接口）。具体配置如下。关于IOS防火墙上的基础配置：interfaceEthernet1/0ipaddressipaccess-group101ininterfaceEthernet1/1ipaddressaccess-list101denytcpanyanyaccess-list101denyudpanyanyaccess-list101denyicmpanyany注意：此时/24子网的所有TCP、UDP、ICMP流量都无法进入/24子网，因为在IOS防火墙的E1/0接口上的访问控制列表deny（拒绝）上述所有流量。当/24子网上发出ping主机时，也不会ping通。因为/24子网的ICMP请求流量能到达/24子网，虽然没有任何访问控制列表限制子网的任何流量穿越IOS防火墙，主动流向子网，但最终IOS防火墙的E1/0接口的访问控制列表将deny/24子网回应给的ICMP应答流量。任务10.3.4配置IOS防火墙，并将其应用到E1/0接口的出方向上。配置如下。关于CBAC的配置：IOS_FW(config)#ipinspectnameIOS_FWicmp*审计ICMP流量IOS_FW(config)#ipinspectnameIOS_FWtcp*审计TCP流量IOS_FW(config)#ipinspectnameIOS_FWudp*审计UDP流量IOS_FW(config)#interfaceEthernet1/0IOS_FW(config–if)#ipinspectIOS_FWout*指示CBAC的应用方向IOS_FW(config–if)#ipaccess-group101in指令ipinspectnameIOS_FW表示配置CBAC控制列表的名称为“IOS_FW”；ipinspectnameIOS_FWicmp、ipinspectnameIOS_FWtcp和ipinspectnameIOS_FWudp指示基于IOS的防火墙将审计ICMP、TCP和UDP流量；ipinspectIOS_FWout指示在路由器的E1/0接口的外部网络接口上应用审计功能。需要注意的是，该演示环境在路由器的E1/0接口上应用审计的方向是“Out”。对于初次配置思科IOS防火墙的用户可能会有这样的疑问：应该将CBAC的功能应用在IOS防火墙的E1/0（防火墙的外部接口）的入方向上，以便抵御从外部发起的主动攻击。但为什么这里会应用到E1/0接口的出方向上？笔者的回答是，千万别把CBAC理解成常规的访问控制列表，CBAC必须要先审计由内部网络主动发向外部网络的流量，并将其作为返回到内部网络的安全规则，这里需要记录审计结果以作为先决条件，然后决定CBAC的应用方向是IOS防火墙的E1/0的“Out”还是E1/1的“In”。选定正确的参考点就可以清晰地理解这个原理，如图10.31所示。完成第二步的配置后，再次到/24子网的主机上向主机发出ping，如果CBAC没有配置错误，那么此时应该能ping通。任务10.3.4请思考：为什么完成了第二步的配置后，内部网络/24子网的主机就能ping通外部网络/24子网的主机？这是因为基于思科IOS的防火墙CBAC为其建立了一个临时会话隧道，此处可以使用showipinspectsessionsdetail指令来查看会话信息，如图10.32所示。如果此时由外部网络主动访问内部网络，那么这些主动访问的流量都将被CBAC所拒绝，除非在ACL101中明确声明了允许进入内部网络的流量。图10.31CBAC应用接口图10.32CBAC测试结果注意：CBAC除了可以审计上述实例中的ICMP、TCP、UDP流量以外，还可以审计更多的基于IP协议的重要网络流量与程序。任务10.3.4表10.1中所列举的各种应用程序与网络协议是现代化企业网络常用的技术标准，但是整个基于思科IOS防火墙的可防御与审计功能不止这些，它拥有更广泛的应用空间，并且具备针对访问Internet流量进行实时审计的行为，如过滤网站、过滤Java脚本等，具体可参考随书光盘中提供的关于CBAC配置的详细文档。表10.1CBAC可审计的重要网络流量与程序程序与流量名称配置的关键字主要功能描述所有的TCP流量tcp审计所有的TCP流量，对TCP泛洪攻击行为进行防御所有的UDP流量udp审计所有的UDP流量，对UDP泛洪攻击行为进行防御ICMP应用程序icmp审计所有的ICMP流量，对ICMP欺骗攻击行为进行防御DNS应用程序dns审计DNS应用服务，对DNS欺骗行为进行防御WINS应用程序wins审计WINS应用服务，对WINS欺骗行为进行防御FTP应用程序ftp审计FTP应用服务，能成功识别主动FTP和被动FTPTFTP应用程序tftp审计TFTP应用服务HTTP应用程序http审计HTTP服务，深度检测恶意网页HTTPS应用程序https审计并识别经过加密的HTTP服务POP3应用程序pop3审计POP3邮件协议，防御邮件攻击Telnet应用程序telnet审计Telnet应用程序任务10.3.4程序与流量名称配置的关键主要功能描述SSH应用程序ssh审计SSH安全应用程序Syslog应用程序Syslog审计穿越IOS防