实训指导3.1-1基于路由器配置基本防护功能讲解

网络安全学习情境3：实训任务3.1基于路由器配置基本防护功能（PT+IOS）内容介绍

任务场景1任务相关工具软件介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6任务场景任务相关工具软件介绍任务设计、规划对于一些小型企业网络的接入控制，可以通过基本的包过滤加以实现任务实施及方法技巧防火墙相关知识严峻的网络安全形势，促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术，涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。在建筑中，防火墙是用于防止一侧起火而引起另一侧起火而设置的一道屏障。网络中的防火墙也是由此引申面来的。由软件和硬件组成的防火墙应该具有以下功能：所有进出网络的通信数据流都应该通过防火墙。所有穿过防火墙的通信数据流都必须有安全策略和计划的确认和授权。理论上说，防火墙是穿不透的，但是由于其自身的漏洞或缺陷也是可能被攻击的。任务实施及方法技巧

Internet防火墙路由器LANWANISP交换机内部网络外部网络任务实施及方法技巧

任务实施及方法技巧

防火墙定义：

防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。防火墙是一个位于计算机与网络或网络与网络之间的软件或硬件设备或是软硬件结合，防火墙是作为Internet的第一道防线，是把内部网和公共网分隔的特殊网络互连设备，可以用于网络用户访问控制、认证服务、数据过滤等。防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。它是网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。任务实施及方法技巧

防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。如图所示。任务实施及方法技巧

防火墙技术的发展：第一代防火墙：采用了包过滤（PacketFilter）技术。第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。任务实施及方法技巧

设置防火墙的目的：确保内部网向外部网的全功能互联和内部网的安全；所有内部网络与外部网的信息交流必须经过防火墙；只有按本地的安全策略被授权的信息才允许通过；防火墙本身具有防止被穿透的能力。任务实施及方法技巧

防火墙的功能：防火墙是网络安全的屏障，防火墙是一个安全策略的检查站。防火墙可以强化网络安全策略。防火墙能有效地记录因特网上的活动，对网络存取和访问进行监控审计防止内部信息的外泄，防火墙限制暴露用户点。防火墙的作用：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警。任务实施及方法技巧

防火墙的局限性或不足之处不能防范恶意的知情者。防火墙不能防范不通过它的连接--防火墙防外不防内。防火墙不能防备全部的威胁，防火墙只实现了粗粒度的访问控制。防火墙不能防范病毒，无法防止数据驱动型攻击。防火墙难于管理和配置，易造成安全漏洞。很难为用户在防火墙内外提供一致的安全策略。防火墙的局限性不止防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。还有防火墙本身的缺陷。任务实施及方法技巧

防火墙类型1--包过滤型包过滤路由器基本的思想很简单：对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包；往往配置成双向的。包过滤路由器如何过滤：过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号。过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。如果匹配到一条规则，则根据此规则决定转发或者丢弃。如果所有规则都不匹配，则根据缺省策略。安全缺省策略两种基本策略，或缺省策略：没有被拒绝的流量都可以通过：管理员必须针对每一种新出现的攻击，制定新的规则。没有被允许的流量都要拒绝：比较保守，根据需要，逐渐开放。任务实施及方法技巧

包过滤技术在网络层上进行监测，并没有考虑连接状态信息。通常在路由器上实现，实际上是一种网络的访问控制机制。优点：实现简单、对用户透明、效率高缺点：正确制定规则并不容易、不可能引入认证机制举例：ipchains和iptablesIpchains的用法示例：ipchains-Ainput-ieth0-s/24-jDENYipchains-Ainput-ptcp-d92/26any-y–ieth0-jDENYipchains–Ainput–ptcp–d5480-ieth0–jACCEPT任务实施及方法技巧

此处实验可以用ACL在PT中完成。往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议，目标端口23源端口>1023连接的第一个包ACK=0，其他包ACK=1往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议，源端口23目标端口>1023所有往内的包都是ACK=1B楼C楼E楼F楼G楼宾馆学生公寓路由器某职业技术学院网络拓扑图任务实施及方法技巧ACL简介（1）

ACL技术产生背景网络中数据流的多样性，用户要求对某些特定的数据流采取特殊的策略，需要一种工具来挑选感兴趣的数据流：只允许特定的主机访问服务器限制FTP流量占用的带宽过滤某些路由信息（2）什么是

ACL？

AccessControllist（访问控制列表），ACL是网络设备处理数据包转发的一组规则，网络设备利用这组规则来决定数据包允许转发还是拒绝转发。任务实施及方法技巧ACL简介（3）ACL过滤依据源IP地址目的IP地址MAC地址协议应用类型任务实施及方法技巧ACL简介（4）ACL组成由一组具有相同编号或者名字的访问控制规则组成（ACL规则）规则中定义检查字段由Permit/deny定义执行的动作（5）ACL工作原理通过编号或者名字调用ACL网络设备根据ACL规则检查报文，并采取相应操作任务实施及方法技巧ACL简介（6）ACL匹配规则自上而下当报文匹配某条规则后，将执行操作，跳出匹配过程细化的语句放在前面缺省最后隐含一条“denyany”的规则（一个ACL中至少要有一条Permit规则）（7）ACL规则修改：全局模式下编号ACL规则的修改新规则添加到ACL的末尾无法单独删除某条规则建议：导出配置文件进行修改将ACL规则复制到编辑工具进行修改删除所有ACL规则重新编写任务实施及方法技巧ACL简介（8）ACL处理方法在创建访问控制列表之后，必须将其应用到某个接口才可开始生效。ACL控制的对象是进出接口的流量。所谓的入站或出站，总是相对路由器来说的。进入路由器接口的流量称为入站流量，流出接口的则称为出站流量。数据包到达接口时，路由器会检查以下参数：是否有针对该接口的ACL？该ACL控制的是入站流量还是出站流量？此流量是否符合允许或拒绝的条件？任务实施及方法技巧

防火墙包过滤实验2任务实施及方法技巧（2）定义的字段

对于允许或拒绝IP流量的访问列表，标识号的范围是1到99和1300到1999。（1）标号范围根据数据包的源IP地址过滤数据包标准ACL任务实施及方法技巧

access-list[access-list-number][deny|permit][sourceaddress]

[source-wildcard]

[log]删除ACL：noaccess-list[listnumber]

ACL的应用：将ACL指派到一个或多个接口，指定是入站流量还是出站流量。尽可能靠近目的地址应用标准ACL。(config-if)#ipaccess-groupaccesslistnumber[in|out]要从接口中删除ACL而不破坏ACL，使用noipaccess-groupinterface命令。（3）基本配置标准ACL任务实施及方法技巧标准ACL①通配符掩码指定了路由器在匹配地址时检查哪些位忽略哪些位②通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位，这与子网掩码中的意义是完全不同的③举例计算表示下列网络中的所有节点的通配符掩码：

答案：55这个通配符掩码与C类地址的子网掩码正好相反在本例中，根据通配符掩码中为0的位，比较数据包的源地址和控制的IP地址中相关的各个位，当每位都相同时，说明两者匹配④通配符掩码

要求IP地址的所有32个比特位均应完全匹配，作用等同于host参数。⑤通配符掩码55，是过滤所有主机，作用等同于any。（4）通配符掩码（wildcard）任务实施及方法技巧（2）定义的字段

不仅可以根据源IP地址过滤，也可根据目的IP地址、协议和端口号过滤流量。扩展ACL的编号范围是100到199和2000到2699。（1）标号范围扩展ACL任务实施及方法技巧扩展ACLaccess-listaccess-list-number{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport][log]举例：某公司有一台地址为5的服务器。该公司有以下要求：允许访问

局域网中的所有主机允许访问主机拒绝访问

局域网中的所有主机允许访问企业中的所有其它主机

access-list100perip55host5access-list100perhost55host5access-list100denyip55host5access-list100peripanyany（3）基本配置任务实施及方法技巧命名ACLR(config)#ipaccess-list{standard|extended}nameR(config-ext-nacl)#{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport][log]在接口上引用此名称即可，也可以配合NAT、VTY等访问被引用。

命名ACL是以列表名称代替列表编号来定义ACL，同样包括标准和扩展两种列表。命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目，这样可以使网络管理员方便修改ACL。任务实施及方法技巧ACL配置（基于长春办事处接入路由器配置）实例1：配合NAT转换实例2：拒绝无线用户访问外网实例3：过滤BOGONS网段实例4：过滤典型病毒攻击任务实施及方法技巧ACL配置实例1：配合NAT转换//定义一个访问标准控制列表Z_R(config)#access-list10permit55Z_R(config)#access-list10denyany//默认规则，可省略//定义基于接口的NAT超载转换，并分别在接口下定义好NAT内部与外部接口Z_R(config)#ipnatinsidesourcelist10interfaceFastethernet0/0overloadZ_R(config)#interfacefastethernet0/0Z_R(config-if)#ipnatoutside//设置此接口为NAT转换的外部网络接口，即公网接口Z_R(config)#interfacefastethernet0/1Z_R(config-if)#ipnatinside任务实施及方法技巧ACL配置实例2：拒绝无线用户访问外网拒绝无线用户（-4）访问外网Z_R(config)#access-list11denyZ_R(config)#access-list11denyZ_R(config)#access-list11permit55Z_R(config)#access-list11denyanyZ_R(config)#interfacefastethernet0/1Z_R(config-if)#ipaccess-group11in任务实施及方法技巧ACL配置实例3：过滤BOGONS网段定义一个访问扩展控制列表bogonsZ_R(config)#ipaccess-listextendedbogonsZ_R(config-ext-nac1)#remarkunassignedianaaddressesZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#denyip55anyZ_R(config-ext-nac1)#permitipanyanyZ_R(config-ext-nac1)#exit接口应用Z_R(config)#interfaceFastethernet0/0Z_R(config-if)#ipaccess-groupbogonsinZ_R(config-if)#