帧中继上实现点对多点的配置(OSPF)逻辑子接口

1、石河子大学信息科学与技术学院<网络工程与技术>课程设计成果20142015学年第二学期题目名称： 基于上下文的访问控制列表CBAC 专 业： 计科12 班 级： 计科2班 学 号： 2012508062 学生姓名： 滕 青 青 指导教师： 曹 传 东 完成日期：二一五 年 七 月 十四 日目 录1. 课题任务名称- 2 -1.1课题题目：- 2 -1.2课题任务：- 2 -2.理论背景/基础知识概述- 2 -2.1.2 帧中继的四个主要功能- 3 -3. 实践环境/条件及资源说明- 5 -4. 实践任务内容- 5 -5. 过程步骤说明- 5 -6. 结论- 17 -7.总结与体会-

2、 18 -附录A参考文献- 19 -1. 课题任务名称1.1课题题目：配置思科路由器实现基于上下文的访问控制列表（CBAC防火墙）1.2课题任务： 要求使用Dynamips模拟配置软件，在本任务中，要求首先搭建好所需的安全实验机架拓扑，然后演示通过在企业出口路由器上定义基于上下文的协议报文审查规则，实现只能让内网用户发起的流量才能被允许通过路由器并返回，对特定的网络所产生的网络流量产生警告和进行跟踪，本题还要求实现跟踪并分析FTP的主动和被动模式的区别。2.理论背景/基础知识概述 2.1 CBAC概述Context-Based Access Control（CBAC）基于上下文的访问控制协议通

3、过检查防火墙的流量来发现&管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ip inspect列表，允许为受允许会话放回流量和附加数据连接，打开这些通路。受允许会话是指来源于受保护的内部网络会话。CBAC不用于ACL(访问控制列表)并不能用来过滤每一种TCP/IP协议，但它对于运行TCP、UDP应用或某些多媒体应用(如Microsoft的NetShow或Real Audio)的网络来说是一个较好的安全解决方案。除此之外，CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面表现卓越。在大多数情况下，我们只需在单个接口的一个方

4、向上配置CBAC，即可实现只允许属于现有会话的数据流进入内部网络。可以说，ACL与CBAC是互补的，它们的组合可实现网络安全的最大化。 2.1.1 CBAC原理CBAC指定了哪些协议及接口、接口方向（流入和流出）需要被检查，同指定了检查的起始。CBAC只对指定的协议进行检查。对于这些协议，只要数据包经过已配置检查策略的接口，那么无论它们从哪个方向通过防火墙都将被检查。进入防火墙的数据包只会在其第一次通过接口的入站ACL时才会被检察。如果数据包被ACL拒绝，数据包会被简单的丢掉并且不会被CBAC检查。CBAC会追踪它监视的连接，创建包括每个连接信息的状态表。这个表和PIX使用的状态表很相似。CB

5、AC监视TCP，UDP，和ICMP的连接并记录到状态表，并为返回的流量创建动态ACL条目，这点和RACL很相似。但是CBAC能够检测应用层的流量，这点是RACL不能实现的。CBAC使用状态表和动态ACL条目来检测和防止某些DoS攻击，尤其是TCP洪水攻击。 2.1.2 帧中继的四个主要功能帧中继具有如下四个主要功能：l 流量过滤扩展ACL只能过滤3层和4层的流量，RACL能够过滤5层的流量，而CBAC支持应用层的检测，即查看某些数据包的内容，如FTP，他能够分别查看控制连接或者数据连接，由于控制和数据使用的端口是分开的，所以这点对于CBAC来说是做不到的。CBAC甚至能够检测HTTP连接中使用

6、的Java程序，并过滤他们。l 流量检测CBAC不仅能像RACL那样检查返回到网络的流量，同时还能够防止TCP SYN 洪水攻击：CBAC能够检测客户端到服务器连接的频率，如果到达一个限度，就会关闭这些连接。也可用来防止DoS分片攻击。l 入侵检测CBAC是一个基于状态的防火墙机制，他也能够检测某些DoS攻击。提供对于某些SMTP e-mail攻击的保护，限制某些SMTP命令发送到你内部网络的e-mail服务器。所有这些攻击都使CBAC产生日志信息，并且会选择性的重置TCP连接或者丢弃这些欺骗数据包。l 一般的告警和审计CBAC对于检测到的问题或攻击能够产生实时的告警，对于连接请求提供详细的审

7、计信息。例如，记录所有的网络连接请求，包括源和目的的IP地址，连接使用的端口，发送的数据大小，连接开始和结束的时间 2.1.3 CBAC的处理步骤1. 用户发起一个到外部的连接，如Telnet。如果配置了进站ACL，则在CBAC检测之前先处理进站ACL。接着根据CBAC的检测规则，Cisco IOS来检测或忽略这些连接。如果没有要检测的连接，Cisco IOS允许数据包的通过，否则跳入步骤2。2. Cisco IOS比较当前连接和状态表中的条目：如果条目不存在，则添加一条到状态表中，否则，Cisco IOS重置这个连接的空闲计时器（idle timer）3. 如果这是一个新条目，则Cisco

8、IOS添加一个动态ACL条目到外部接口的进站方向，允许返回到内部网络的流量。这个动态ACL不会保存到NVRAM。在Cisco IOS 12.3（4）T后，出现了一个新的特性叫做：Firewall ACL Bypass (FAB)，使用这个特性后，Cisco IOS不会为允许返回的流量创建动态ACL条目，而是直接查看状态表看哪些流量允许返回内部网络，这是通过快速交换进程，如CEF来实现的，从而加快了处理返回的流量的速度。如果在状态表中没有发现符合的条目，则继续进行进站ACL的检查过程。在12.3（4）T之后，FAB特性会自动的启用并且不能被关闭。 2.1.4 CBAC相比与RACL的改进l TC

9、P像RACL一样，CBAC会检测TCP数据包包头的控制位，如果看到FIN位，则Cisco IOS会等待5秒钟来关闭连接，并且删除动态ACL条目（在FAB特性引入之前），并从状态表中删除条目。如果一个TCP的会话空闲超过1个小时，则Cisco IOS会移除这个条目。此外和RACL不同的是CBAC会要求TCP连接在看到第一个SYN字段的30秒钟之内（用户配置）建立。如果在这个时间断里没有建立，Cisco IOS会从状态表中出这个条目和ACL。此外，CBAC还会检查TCP连接的序列号来保证在一个范围内。如果不在这个范围中，CBAC会丢且这些报文，并且假设发生了DoS欺骗攻击。l UDP和RACL一样

10、，CBAC会估计UDP连接的时间，假设30秒之内（用户配置）没有UDP数据包，则说明连接已经结束了。因此Cisco IOS从状态表中移除这个条目（包括动态ACL条目）。此外，与RACL不同的是，CBAC会检测DNS的查询和响应。如果内部设备产生了DNS查询，远端DNS服务器应该会在5秒钟发送DNS响应。如果在5秒钟内没有看到响应，这个DNS连接条目会被立刻移除来防止欺骗攻击。同样的，如果从DNS服务器看到DNS响应后，Cisco IOS也会立刻从状态表中移除相应，来防止DNS欺骗和DoS攻击。l 另外的连接 某些应用程序，如FTP，会开启额外的连接来传输数据。这种情况RACL就不能起作用了，而

11、CBAC能够监视这些应用的控制连接，并决定他们是否开启了其他的数据连接。当CBAC发现额外开启的连接，他会自动将这些信息加入到状态表中（在启用FAB之前，还会加入到动态ACL种）来允许这些连接通过路由器。l 对于地址转换的支持CBAC对于经过地址转换的地址能够在状态表种进行正确的转换，并正确的响应。但是有两个限制：启用CBAC的路由器必须同时扮演地址转换的角色，这样才能够获得包头的地址转换的信息。并不支持所有的应用程序；只支持某些类型的地址转换，如NAT，而不是PAT。3. 实践环境/条件及资源说明本课题任务要求在Dynamips模拟软件中搭建虚拟拓扑结构，选用了两个路由器，一个虚拟机，其中r

12、outer1充当内部主机，Router2做边界路由器，虚拟机做外部主机，其主要需求配置如下表所示：操作系统Redhat Linux实验工具VMvare表3-1 外部主机（虚拟机）配置操作系统IOS C3600实验工具Dynamips表3-2 企业内部主机配置操作系统IOS C3600实验工具Dynamips表3-3 网络环境（边界路由器）配置4. 实践任务内容1、动手实际安装Dynamips工具并配置虚拟机2、动手配置Dynamips进行路由和虚拟机的连接3、搭建好所需的安全实验机架拓扑图4、设置在企业出口路由器上定义基于上下文的ACL策略5、 实现只能让内网用户发起的流量才能被允许通过路由器

13、并返回，对特定的网络所产生的网络流量产生警告和进行跟踪，跟踪并分析FTP的主动和被动模式的区别。5. 过程步骤说明主要步骤：1、安装和配置虚拟机2、链接虚拟机和路由器，搭建安全实验机架拓扑图3、企业内部和外部连通性测试4、在路由器出口上配置CBAC规则5、测试4中CBAC规则的有效性6、跟踪FTP的主动和被动模式详细过程：1、 选择两个路由器设备，并桥接到虚拟PC，其中router1充当内部主机，Router2做边界路由器，虚拟机做外部主机图5.1.1 实验需要的配置图5.1.2 设备添加过程2、填入要桥接的网卡的网卡号图5.2 填入桥接的虚拟机的网卡号3、 给路由器添加设备模块图5.3.1给

14、路由器添加模块图5.3.2 设备生成过程6.按照拓扑图进行设备链接，生成BAt文件图5.6.1 设备链接图5.6.2 生成BAT文件7. 启动路由器和主机设备图 5.7.1 启动内部主机图 5.7.2 启动边界路由器8.进入网络设置，设置虚拟机网络信息图 5.8.1 网络设置图 5.8.2 虚拟机VMnet1网络信息图 5.8.3虚拟机VMnet1IP地址设置9 启动虚拟机，网络连接模式为VMnet1（only host）图5.9 虚拟机网络适配器设置10. 虚拟机网卡eth0信息设置，包括IP地址和默认网关图5.10 虚拟机网卡eth0信息设置11. 内部网络和外部网络连通性测试图5.11

15、外部主机Ping内部主机12.内部主机远程登录设置图5.11 外部主机Telnet密码设置13.外部主机远程登录到内部主机，进行Telnet测试图5.13 外部主机telnet到外部主机14. 外部主机Telnet密码设置图5.14 外部主机Telnet密码设置15.内部主机远程登录到外部主机，进行Telnet测试图5.15 内部主机Telnet外部主机16 边界路由器上进行CBAC配置，进行流量过滤，使得外网无法访问内外图5.16 CBAC配置17 .CBAC有效性测试，结果为内部主机可以telnet外部主机，外部主机无法telnet内部主机图 5.17.1 外部主机telnet内部主机图

16、5.17.2 内部主机telnet外部主机6. 结论CBAC的配置步骤决定路由器上的哪个接口作为内部接口，哪个接口作为外部接口内部接口（internal）是指连接发起的数据包进入CBAC路由器的接口，外部接口（external）是流量出去后返回CBAC路由器的接口，如果要配置双向CBAC，推荐先配置单向CBAC，测试正常后再配置另外一边。注意：如果不配置内部端口，则除了外部端口外的所有端口都是内部端口创建普通的IP ACL列表过滤进入和离开内部网络的流量，并保证那些要监视的出站流量允许被通过推荐在配置CBAC之前，先用ACL（应用到接口上）允许某些必要的流量进入或离开内部网络，这样做简化了以后

17、的CBAC配置和相关排错，inspect会在这些deny的条目上开孔，允许指定的流量进入（可选）改变全局的连接超时时间 Router(config)# ip inspect tcp synwait-time# 等待多长时间来完成TCP连接（三次握手），默认是30秒Router(config)# ip inspect tcp finwait-time #等待多长时间来完成TCP连接 关闭，默认是5秒Router(config)# ip inspect tcp idle-time#TCP连接的空闲时间，默认是3600秒Router(config)# ip inspect udp idle-time

18、 #UDP连接的空闲时间，默认是30秒Router(config)# ip inspect dns-timeout #配置DNS查询条目在状态表中存在的时间，默认是5秒，优先级高于UDP空闲时间（可选）配置应用程序端口映射（Port Application Mapping（PAM）CBAC是那个PAM来决定要监视的应用连接类型，如果要监视的那些使用非标准端口的应用程序，如HTTP使用8080端口，必须要手动配置。PAM表中有三类条目：System-defined entries-默认的应用程序端口条目User-defined entries-用户定义的应用程序端口条目Host-specific entries-User-defined entries的一种，如果一个应用程序同时存在默认端口和用户自定义的端口，则用户自定义的条目称为Host-specific entries配置PAM条目：Router(config)# ip port-map application_name port