防火墙安全规则和配置

-.z.网络平安是一个系统的概念，有效的平安策略或方案的制定，是网络信息平安的首要目标。网络平安技术主要有，认证授权、数据加密、访问控制、平安审计等。而提供平安网关效劳的类型有：地址转换、包过滤、应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两种平安网关效劳，利用cisco路由器对ISDN拨号上网做平安规则设置。试验环境是一台有firewall版本IOS的cisco2621路由器、一台交换机组成的局域网利用ISDN拨号上网。一、地址转换我们知道，Internet技术是基于IP协议的技术，所有的信息通信都是通过IP包来实现的，每一个设备需要进展通信都必须有一个唯一的IP地址。因此，当一个网络需要接入Internet的时候，需要在Internet上进展通信的设备就必须有一个在全球Internet网络上唯一的地址。当一个网络需要接入Internet上使用时，网络中的每一台设备都有一个Internet地址，这在实行各种Internet应用上当然是最理想不过的。但是，这样也导致每一个设备都暴露在网络上，任何人都可以对这些设备攻击，同时由于Internet目前采用的IPV4协议在网络开展到现在，所剩下的可用的IP地址已经不多了，网络中的每一台设备都需要一个IP地址，这几乎是不可能的事情。采用端口地址转换，管理员只需要设定一个可以用作端口地址转换的公有Internet地址，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法InternetIP可以映射六万多台部网主机。从而隐藏部网路地址信息，使外界无法直接访问部网络设备。Cisco路由器提供了几种NAT转换的功能：1、部地址与出口地址的一一对应缺点：在出口地址资源稀少的情况下只能使较少主机连到internet。2、部地址分享出口地址路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其中部地址的端口号为随机产生的大于1024的，而外部主机端口号为公认的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任意数量的部主机到外网。具体配置：由于实验用的是ISDN拨号上网，在internet上只能随机获得出口地址，所以NAT转换的地址池设置为BRI口上拨号所获得的地址。interfaceFastEthernet0/0

ipaddress00

ipnatinsidetheinterfaceconnectedtoinsideworld

!

interfaceBRI0/0

ipaddressnegotiated

ipnatoutsidetheinterfaceconnectedtooutsidenetwork

encapsulationppp

noipsplit-horizon

dialerstring163

dialerload-threshold150inbound

dialer-group1

isdnswitch-typebasic-net3

ipnatinsidesourcelist1interfaceBRI0/0overload

access-list1permit55

3、部地址和外部地址出现交叠当部和外部用同一个网络段地址时，在地址没有重复的情况下，可以同时对外接口进展NAT转换使之可以正常通讯。4、用一个出口地址映射部多台主机应用于internet上的大型有多台主机对应同一个系统的同一个出口地址。可以用shipnattranslation和debugipnat命令来检查NAT的状态。二、基于上下文的访问控制〔Conte*t-basedaccesscontrol--CBAC〕CISCO路由器的access-list只能检查网络层或者传输层的数据包，而CBAC能够智能过滤基于应用层的〔如FTP连接信息〕TCP和UDP的session；CBAC能够在firewallaccess-list翻开一个临时的通道给起源于部网络向外的连接，同时检查外两个方向的sessions。1、工作原理比方当CBAC配置于连到internet的外部接口上，一个从部发出的TCP数据包〔telnet会话〕经过该接口连出，同时CBAC的配置中已经包括了tcpinspection，将会经过以下几步：〔1〕数据包到达防火墙的外部接口〔设为s0〕；〔2〕数据包由该接口outboundaccess-list检查是否允许通过〔不通过的数据包在此被丢弃，不用经过以下步骤〕；〔3〕通过accesslist检查的数据包由CBAC检查来决定和记录包连接状态信息，这个信息被记录于一个新产生的状态列表中为下一个连接提供快速通道；〔4〕如果CBAC没有定义对telnet应用的检查，数据包可以直接从该接口送出；〔5〕基于第三步所获得的状态信息，CBAC在s0的inboundaccesslist中插入一个临时创立的accesslist入口，这个临时通道的定义是为了让从外部回来的数据包能够进入；〔6〕数据包从s0送出；〔7〕接下来一个外部的inbound数据包到达s0，这个数据包是先前送出的telnet会话连接的一局部，经过s0口的accesslist检查，然后从第五步建立的临时通道进入；〔8〕被允许进入的数据包经过CBAC的检查，同时连接状态列表根据需要更新，基于更新的状态信息，inboundaccesslist临时通道也进展修改只允许当前合法连接的数据包进入；〔9〕所有属于当前连接的进出s0口数据包都被检查，用以更新状态列表和按需修改临时通道的accesslist，同时数据包被允许通过s0口；〔10〕当前连接终止或超时，连接状态列表入口被删除，同时，临时翻开的accesslist入口也被删除。需要注意的是：对于配置到s0口outboundipaccesslist，accesslist必须允许所有需要的应用通过，包括希望被CBAC检查的应用；但是inboundipaccesslist必须制止所有需要CBAC检查的应用，当CBAC被出去的数据包触发后，会在inboundaccesslist中临时开放一个通道给合法的、正在传送的数据进入。2、CBAC可提供如下效劳〔1〕状态包过滤：对企业部网络、企业和合作伙伴互连以及企业连接internet提供完备的平安性和强制政策。〔2〕Dos检测和抵御：CBAC通过检查数据报头、丢弃可疑数据包来预防和保护路由器受到攻击。〔3〕实时报警和跟踪：可配置基于应用层的连接，跟踪经过防火墙的数据包，提供详细过程信息并报告可疑行为。〔4〕无缝兼容性：整和防火墙和其它ciscoIOS软件于一体；优化广域网利用率；提供强大的、可升级的路由选择etc。〔5〕支持VPN：利用封装了防火墙版本的ciscoIos软件和Qos特性来保证在公共网络上传输数据的平安性，同时节省费用。〔6〕可升级配置：适用于大局部路由器平台，cisco带防火墙版本的IOS可升级来满足网络带宽和性能的需要。3、CBAC受到的限制〔1〕仅适用于IP数据流：只有TCP和UDP包被检测，其它如ICMP等不能被CBAC检测，只能通过根本的accesslists过滤。〔2〕如果我们在配置CBAC时重新更改accesslists，要注意：如果accesslists制止TFTP数据流进入一个接口，我们将不能通过那个接口从网络启动路由器〔netboot〕。〔3〕CBAC忽略ICMPunreachable信息。〔4〕当CBAC检查FTP传输时，它只允许目的端口为1024—65535围的数据通道。〔5〕如果FTP客户端/效劳器认证失败，CBAC将不会翻开一条数据通道。〔6〕IPSec和CBAC的兼容性：如果CBAC和IPSec配置于同一台路由器上，只要对数据包的检查是在部网接口上进展的，而数据包加密是终止在外部网接口上的，则IPsec和CBAC就能共存在该边界路由器上。在这种方式下，检查的是不加密的数据流。4、CBAC所需的存和性能有一些参数会影响CBAC所需的存和性能：〔1〕CBAC对每条连接使用600byte的存；〔2〕在检查数据包的过程中，CBAC使用额外的CPU资源；〔3〕尽管CBAC通过对accesslists的高效存储〔对accesslist进展散列索引，然后评估该散列〕来最小化其对资源的需求，它在accesslist检查过程中仍要使用一定的CPU资源。5、配置CBAC

第一步，CBAC用timeout和threshold值来管理会话，配置判断是否在会话还未完全建立的时候终止连接。这些参数全局性地应用于所有会话。具有firewallfeature的ciscorouter12.0以上版本的IOS缺省是起了IPINSPECT抵御DoS进攻的。当half-open会话数量大到一定的程度往往意味着正在有DOS攻击发生或*人正在做端口扫描，CBAC既监测half-open会话总数也监测会话企图建立的速率。以下是缺省配置：Hp*g_1*shipinspectall

Sessionaudittrailisdisabled〔相关命令是ipinspectaudittrail,是用来翻开自动跟踪审计功能并将信息传送到console口，缺省是disabled.〕Sessionalertisenabled

one-minutethresholdsare[400:500]connections〔相关命令是ipinspectone-minutehigh500和ipinspectone-minutelow400,是将引起或导致路由器开场或停顿删除half-open会话的新增未建立会话的速率，即每分钟500/400个half-open会话〕ma*-inpletesessionsthresholdsare[400:500]〔相关命令是ipinspectma*-inpletehigh500,表示将引起路由器开场删除half-open会话的已经存在的half-open会话数500个；ipinspectma*-inpletelow400表示将导致路由器开场停顿删除half-open会话的已经存在的half-open会话数〕ma*-inpletetcpconnectionsperhostis50.Block-time0minute.〔相关命令：ipinspecttcpma*-inpletehost50block-time0表示将引起路由器开场丢弃到同一目的主机地址的超过50个的half-open会话。如果block-time值为0表示到*个目的主机的每条连接请求，CBAC会删除到该主机的最老的已存在的half-open会话，并让该SYN包通过；如果block-time值大于0表示CBAC将删除到该目的主机的所有已存在的half-open连接，并阻拦所有新的连接请求直到block-time值超时〕。tcpsynwait-timeis30sec〔ipinspecttcpsynwait-time30：表示路由器在阻断会话前等待TCP会话到达连接建立状态的时间〕tcpfinwait-timeis5sec〔ipinspecttcpfinwait-time5:表示防火墙检测到一个FIN标志后仍继续管理TCP会话的时间长度〕tcpidle-timeis3600sec〔ipinspecttcpidle-time3600:在没有TCP连接后仍继续管理TCP会话的时间长度〕udpidle-timeis30sec〔ipinspectudpidle-time30：在UDP会话停顿后仍继续管理UDP会话信息的时间长度〕dns-timeoutis5sec〔ipinspectdns-timeout5：DNS名字查询停顿后仍继续被管理的时间〕设置timeout值可以通过丢弃超过时限的会话来有效阻止DoS攻击释放系统资源，设置threshold值可以通过限制half-open会话的数量来阻止DoS攻击。CBAC提供三种threshold值来抵御DOS攻击：1、最大half-open的TCP或UDP会话的数量。2、基于时间的half-open会话数量。3、每个host可以翻开的TCPhalf-open会话的数量。对于超过threshold值的连接，CBAC会初始化旧的half-open连接，释放资源承受新的要求同步的数据包。第二步：配置accesslist

access-list101permiticmpanyanyecho

access-list101permiticmpanyanyecho-reply

access-list101permiticmpanyanyunreachable

access-list101permiticmpanyanytime-e*ceeded

access-list101permiticmpanyanypacket-too-big

access-list101permiticmpanyanytraceroute(以上命令允许ping包通过，主要用来排错，如果没有必要上述命令可以不做)

access-list101permitanyanyeqsmtp〔允许在效劳器上的平安验证〕access-list101denyipanyanylog〔CBAC要求制止其他所有进入的ip包〕第三步：根据实际环境定义一个检查规则。ipinspectnameCBACfragmentma*imum256timeout1(此命令12.1以后的版本出现，防止分段攻击)

ipinspectnameCBACsmtp

ipinspectnameCBACftp

ipinspectnameCBAC

ipinspectnameCBACtcp(进入的数据包必须与先前流出的数据包有一样的源/目的地址和端口号〔源和目的对调〕，否则就被丢弃)

ipinspectnameCBACudptimeout5(如果配置了timeout值，则应答数据包是在最后的UDP请求包被送出后的预定时间围收到的，就被允许通过防火墙返回)

第四步：把检查规则定义到一个接口上。interfaceBRI0/0

ipaddressnegotiated

ipaccess-group101in

ipnatoutside

ipinspectCBACout

做完以上配置后，实际运行中路由器显示的log如下：04:20:27:%FW-6-SESS_AUDIT_TRAIL:sessioninitiator(:1426)sent656bytes--responder(56:80)sent307