安全威胁类型:
ü侦察 ð网络命令、PING扫描、端口扫描
ü非授权访问
ü拒绝服务(DOS)ð资源过载型拒绝服务攻击(表一)
ð带外数据型拒绝服务攻击(表二)
ð其他拒绝服务攻击(分布式拒绝服务攻击DDOS、电子邮件炸弹、缓冲区溢出、恶意applet、CPU独占)
ü数据操纵
ðIP欺骗(IP Spooling)
ð会话重放和劫持(Hijacking)
ð重路由(Rerouting)
ð否认(Repudianton)
保护管理接口的安全
ü设置控制台(Console)口令:router(config)#line console 0
router(config-line)#login
router(config-line)#password cisco_psw1
ü设置vty(Telnet)口令:
router(config)#line vty 0 4
router(config-line)#login
router(config-line)#password cisco_psw2
ü设置特权模式一般口令:
router(config)#enable password cisco_psw3
设置特权模式秘密口令:
router(config)#enable secret cisco_psw4
ü”service password-encryption”命令:将口令以一种加密的方式存储在路由器的配置文件中,以致在“Show config”中不可见。
Ö路由器限定具体的某台主机拥有”telnet”访问的权限:
router(config)# access-list 21 permit 10.1.1.4
router(config)#line vty 0 4
router(config-line)#access-class 21 in
Ö 管理员只能在10.1.1.4上用Telnet访问路由器
ØCISCO访问列表类型:
ü标准访问列表:只允许过滤源地址,功能十分有限
access-list [list-number] [permit|deny] [source address] [wildcard-mask] [log]
Ö有三个关键字host、any、log适用此列表,host和any分别适用单个主机和所有主机
ð access-list 1 permit 192.168.11.0 0.0.0.255 log
ð access-list 1 deny host 192.168.0.5
ð access-list 1 permit any
ü扩展访问列表:允许过滤源地址、目的地址、协议、端口、上层应用数据
access-list [list-number] [permit|deny] [protocol] [protocol keyword] [sourece address] [source-wildcard]
[source port] [destination address] [destination-wildcard] [destination port] [log] [options]
ðaccess-list 101 pemit tcp any host 198.78.46.8 eq smtp
ðaccess-list 101 pemit ip 196.2.22.0 0.0.0.255 host 198.78.46.8
Ö标准或扩展列表定义好以后,必须用“ip access-group [list-number] [in|out]”应用到端口上
ü标准的命名IP访问列表:
ip access-list standard name
ðip access-list standard test-name
ðpermit 196.2.20.0 0.0.0.255
ðpermit 196.2.12.0 0.0.0.255
ðip access-group test-name out
Ö定义和应用的格式与标准列表不同,其他用法和标准列表相同
ü扩展的命名IP访问列表:
ip access-list extended name
ðip access-list extended sever-security
ðpermit tcp any host 202.32..5.69 eq 21
ðip access-group sever-security out
Ö定义和应用的格式与扩展列表不同,其他用法和扩展列表相同
ü动态访问表(lock-and-key):
ð 例一:两个以太网接口E0:198.78.46.0,E1:205.131.175.0;服务器198.78.46.12;希望任何用户都能访问198.78.46.12服务器,并允许205.131.175.0的网络能HTTP和FTP访问INTERNET。
username test password cisco
!
interface serial0
ip address 175.10.1.1 255.255.255.0
ip access-group 100 in
!
access-list 100 permit tcp any host 175.10.1.1 eq telnet
access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023
access-list 100 permit tcp any eq www 205.131.175.0 0.0.0.255 gt 1023 established
access-list 100 permit tcp any eq 21 205.131.175.0 0.0.0.255 gy 1023 established
access-list 100 dynamic test timeout 180 permit ip any host 198.78.46.12 log
!
logging buffered 64000
!
line vty 0 2
login local
autocommand access-enable host timeout 10
line vty 3 4
login local
rotary 1
Ö通常的访问列表,如果想开启一个访问列表让授权用户在不信任端访问内部资源的话,那么这个访问通道将会永久有效直到删除,以致带来巨大的安全漏洞;动态访问列表解决这个问题,它提供了一个用户名和密码的认证方式,避免了不信任端的用户非法侵入。
Ö必需步骤:
1、创建user和password
2、创建Telnet连接,如果不允许此连接就不能在访问表中创建动态的访问表项。
3、配置动态访问列表项和其它访问列表项
4、必须在line vty下配置“Autocommand”,一般在“line vty 0 2”下。
5、必须在line vty 下配置“rotary 1”
6、将动态和一般访问列表应用到接口:ip access-group list-number in|out
ü基于时间的访问列表:
interface ethernet0
ip access-group 101 in
Time-range allow-http
Absolute start 7:00 1 June 2000 end 17:00 31 December 2000
Periodic weekends 7:00 to 17:00
!
ip access-list 101 permit tcp any any eq 80 allow-http!
Ö必需步骤:
1、定义时间范围:(具体参数见表三)
time-range time-range-name
absolute [start time date] [end time date]
periodic days-of-the -week hh:mm to [days-of-the-week]hh:mm
2、定义访问列表并应用时间范围名称,以及将列表应用到接口
absolute是用于定义全面的时间范围,在一个“time-range”中,只能有一个absolute,但可以有多个periodic定义具体的时间范围
ü自反访问列表:
ð自反访问列表在路由器的一边创建ip流量的动态开启,该过程是基于来自路由器另一边的会话进行的。它必须是基于扩展的ip命名访问列表。作用类似于一般访问列表中的“established”参数,它可创建一个动态的临时的相反方向的访问列表
ð自反访问列表创建语句:
1使用一条permit语句创建一个扩展ip命名访问列表,并在每个permit语句中使用reflect关键字,用以表明访问表中使用一个自反向开启表项。格式:permit protocol source destination reflect name [timeout seconds]。
2、使用evaluate语句将终止包含一条或多条自反向表项的扩展ip命名访问列表。格式:evaluate name
3、使用ip reflexive-list timeout 命令改变临时自反访问表表项的全局超时缺省值。格式:ip reflexive-list timeout seconds
ð解决方案一:
interface serial 0
ip access-group outfilter out
ip access-group infilter in
!
ip access-list extended outfilter
permit tcp any any eq 80 reflect my-packets timeout 240
permit tcp any any eq 23 reflect my-packets timeout 60
permit udp any any eq 53 reflect my-packets timeout 180
ip access-list extended infilter evaluate my-packets
ð解决方案二:
interface serial 0
ip access-group infilter0 in
ip access-group outfilter0 out
!
ip reflexive-list timeout 180
!
ip access-list extended infilter0
evaluate my-packets0
!
ip access-list extended outfilter0
permit tcp any any eq 23 reflect my-packets0
permit udp any any eq 53 reflect my-packets0
permit tcp any any eq 80 reflect my-packets0
!
interface serial 1
ip access-group infilter1 in
ip access-group outfilter1 out
!
ip access-list extended infilter1
permit icmp any host 205.131.175.12 echo request
permit tcp any host 205.131.175.12 eq 80
evaluate my-packets1
!
ip access-list extended outfilter1
permit tcp any any eq 23 reflet my-packets1
permit udp any any eq 53 reflect my-packets1
permit tcp any any eq 80 reflect my-packets1
Ö一般在一个向外的 扩展ip命名访问列表中定义合适的方向语句。这样就可以使临时开启表项出现在向内的方向上
ü基于上下文的访问控制:
Ø 用过滤器控制数据流
ü抑制路由使它不在路由更新中被广播出去
router(config)# access-list 45 deny 10.1.2.0 0.0.0.255
router(config)# access-list 45 permit any any
router(config-line)#router eigrp 200
router(config-router)#distribute-list 45 out serial0
Ö在路由更新被广播出去的时候,10.1.2.0网段的地址路由信息不被广播,并在Serial0上将该访问控制列表用于外出的EIGRP数据流进行过滤。
ü抑制从路由更新中收到的路由
router(config)# access-list 46 permit 10.2.0.0 0.0.255.255
router(config-line)#router eigrp 200
router(config-router)#distribute-list 46 in serial0
Ö配置一个访问列表只接收来自被信任网络10.2.0.0的路由更新,并在Serial0上将该访问控制列表施加于进入该接口的数据流。
ü抑制从路由更新使之不被从接口发出
Ö阻止路由更新消息从某个指定路由器接口上发送出去的命令为“Passive-interface type
number”( 该特性应用于除BGP、EGP之外的所有基于IP的路由协议)
ü过滤路由信息的来源
Ö可以利用管理距离参数让路由器智能地辩选路由信息的来源,过滤路由信息来源的命令为“distance weight [address mask [access-list-number|name]][ip]”
Ø 用安全策略控制数据流实例:ü例一:
安全策略:
1、允许所有外出的数据流;
2、允许且只允许由内部发起的入数据流,防止IP欺骗造成的攻击
3、允许对已建立连接的外出数据流的入响应
4、拒绝所有其它入数据流,并记录这些非授权访问企图
router(config)#access-list 47 permit 10.1.2.0 0.0.0.255
router(config)#access-list 103 permit tcp any any established
router(config)#access-list 103 deny ip any any log
router(config)#interface serial0
router(config-if)#ip access-group 47 out
router(config-if)#ip access-group 103 in
Ø 控制对路由器上HTTP服务器模块的访问
ü可以用“ip http server”全局配置命令让任何路由器能通过Cisco web浏览器接口被监控配置
ü可以用“ip http port”全局配置命令来设置一个将被客户端软件接口使用的端口(例如端口8080)
ü可以用“ip http access-class”全局配置命令为将被使用的HTTP服务器分配一个访问控制列表
ü可以用“ip http authentcation”全局命令来指定一种对“IP HTTP”服务器用户的认证,以提供安全
ip http authentication {aaa | enable | local | tacacs}
Ø 配置路由器PAT
ip nat pool mypat 172.16.1.100 172.16.1.100 netmask 255.255.255.0
ip nat inside source list 1 pool mypat overload
!
interface serial1/0
ip address 172.16.1.1 255.255.255.0
ip nat outside
!
interface ethernet1/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.0.0 0.0.0.255
Ö 在边界路由器上配置了PAT,它将动态地将所有符合访问列表1 (源地址在192.168.0.0/24网段
内)的源地址转换为地址池 mypat 中的地址。该地址只有一个ip 地址:172.16.0.100
Ö“overload”命令参数使路由器能为许多本地地址使用一个全局地址:172.16.1.100 配置了复用
(overloading)后,内部主机不同的TCP或UDP端口号可以区分采用一个本地IP地址的不同会话。
Ø 配置路由器动态NAT
ip nat pool mynat 172.16.1.100 172.16.1.199 netmask 255.255.255.0
ip nat inside source list 1 mynat
!
interface serial 1/0
ip address 172.16.1.1 255.255.255.0
ip nat outside
!
interface ethernet 1/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.0.0 0.0.0.255
Ö在动态转换情况下,为接口定义并分配一个内部全局地址,路由器动态地将内部本地地址转换为全
局地址池中可用的地址。在上述配置中合法的地址池是172.16.1.100~172.16.0.199 ,局域网内部地址为192.168.0.0
Ö也可以静态地进行NAT转换,这样就不需要地址池,用“static ....” 命令就可以实现。
更多请看Cisco与华为技术网(Vlan9.com)Cisco IOS、路由安全配置、Cisco路由器配置手册专题,或进入论坛讨论。
【相 关 文 章】
相关专题
- Cisco IOS (3014篇文章)
- 路由安全配置 (11827篇文章)
- Cisco路由器配置手册 (4829篇文章)
- Cisco交换机专题 (4303篇文章)
- 网络管理实用手册 (17972篇文章)
- 网络故障手册 (13166篇文章)
- 思科交换机配置 (4305篇文章)
- Cisco防火墙专题 (4625篇文章)
- Cisco认证 (2791篇文章)
- Cisco密码恢复专题 (2277篇文章)
论坛精华
阅读排行榜
- “时间管理”无线路由器不能忽视的功能 (46次浏览)
- 城域光传送网光缆组网方案研究 (31次浏览)
最新技术文档
- 城域光传送网光缆组网方案研究 04-14
- “时间管理”无线路由器不能忽视的功能 04-11
- 网线缠绕,也能引发上网频繁掉线? 04-07
- 网络数据丢包严重 线路环路是“祸首” 03-29
- 网管支招:从本地入手解决双线路由设置 03-29
- 家用网络难点 无线路由自动掉线巧解决 03-27
- 加速交换机端口初始化进程的介绍 03-19
- 关于加速交换机端口初始化进程的介绍 03-19
- 网线的制作和连接 03-14
- 网线的制作和连接:网管员必须掌握 03-13
热门关键字导读