Cisco 访问控制列表

来源:本站原创 CISCO 超过843 views围观 0条评论

Cisco 访问控制列表

       ACL是顺序执行的;ACL最后默认有一条拒绝所有流量的语句.

    标准编号ACL:

              Access-list access-list-number {deny | permit} source-address [source-wildcasd]

Access-list-number介于1-99和1300-1999之间

    标准命名ACL

              Ip access-list standard access-list-name

    扩展编号ACL     

Access-list access-list-number {deny | permit} {protocol-number | protocol-keyword} {source source-wildcard | any | host} {source-port} {destination destination-wildcard |any | host} {destination-port} [established] [log | log-input]

    扩展命名ACL     

              Ip access-list extended access-list-name

    注释ACL      

              Access-list access-list-number remark remark-of-acl

    将ACL应用到接口上

              Ip access-group {access-list-number | access-list-name} {in | out}

    启用Turbo ACL

              Access-list compiled

              Show access-list compiled

IP地址欺骗对策

    入站方向:不允许任何源地址是内部主机或内部网络地址的数据包进入一个私有网络.

    出站方向:不允许任何源地址不是内部主机或内部网络地址的数据包出站.

DoS TCP SYN攻击对策

    方法有两种:阻塞外部访问;使用TCP拦截

    阻塞外部访问:

              Access-list 109 permit tcp any 内部网络地址段 established

目的是允许外部网络对源自内部网络的请求进行响应;拒绝任何从外部网络主动发起的到内部网络的TCP链接.

    使用TCP拦截:

              Router(config)#ip tcp intercept list 110

              Router(config)#access-list 110 permit tcp any 内部网络地址段

              Router(config)#access-list 110 deny ip any any log

借助TCP拦截,路由器会检查每一个入站的TCP连接企图,确定源地址是否来自外部一个可达的主机;路由器软件会分别和外部主机和内部主机建立连接,然后将这两个连接结合起来;如果外部主机可达,就允许结合连接,如果外部主机不可达,就丢弃连接;因为要检查每一个TCP连接尝试,所以会增加路由器的CPU负担,谨慎使用.

DoS Smurf攻击对策

       Smurf攻击,是向一个子网广播地址发送大量ICMP包,IP地址伪装成属于这个子网.

       Router(config)#access-list 110 deny ip any host 192.168.1.255

       Router(config)#access-list 110 deny ip any host 192.168.1.0

       Router(config)#access-list 110 permit ip any any

Cisco IOS 12.0之后的版本默认都启用了no ip directed-broadcast,可以防止此类ICMP攻击,所以就不需要以上的ACL了.

Syslog日志

    Syslog日志信息会发送到以下几个地方:

       1,控制台(Console口)

           发送到Console口(控制台)的日志消息不会被路由器保存.

       2,终端链路(Terminal lines)

           发送到Terminal lines的日志也不会被路由器保存

       3,内存缓冲区(Memory buffer)

           路由器重启时,这些日志信息会丢失

       4,SNMP Trap

       5,Syslog服务器

    Syslog日志信息分为0-7共8个级别,数字越小,级别越高.

Syslog路由器命令(为路由器配置Syslog服务器的五个步骤)

    1,配置目的主机

       Logging {host-name | ip-address}

    2,设置日志安全级别

       Logging trap level

只向Syslog服务器发送特定级别level的日志信息

    3,设置Syslog设施

       Logging facility facility-type

Facility-type:Syslog设置类型:local0到local7

    4,设置源接口

       Logging source-interface interface-type interface-number

    5,启用日志

       Logging on

为企业网络设计安全的管理和报告系统

       带外安全管理指南

              1,应该提供最高安全级别的安全;应该消除在生产网络上传递不安全协议的风险.

              2,应该保持主机和网络设备上时钟的同步

              3,应该记录变更并归档配置.

       带内安全管理指南

              1,确定是否需要对设备进行管理和监视

              2,尽可能使用IPSec           

              3,用SSH或SSL代替Telnet

              4,确定是否任何时候都需要开放管理通道

              5, 应该保持主机和网络设备上时钟的同步

              6, 记录变更并归档配置.

配置SSH服务器

       确保Cisco IOS是12.1(1)T之后的版本,且具有IPSec特性集.

       确保该路由器已经配置为本地认证或AAA认证.

       确保每一台目标路由器都具有惟一的主机名

       确保每一台目标路由器都是用了正确的网络域名

       配置过程需要一下几部:

              1,用ip domain-name 配置IP域名

                     Ip domain-name cisco.com

              2,用crypto key generate rsa配置RSA密钥

                     Crypto key generate rsa general-key modulus 1024

              3,ip ssh time-out配置SSH客户端和路由器间SSH连接的超时时间

                     Ip ssh time-out 120

              4,ip ssh authentication-retries配置SSH重试次数

                     Ip ssh authentication-retries 4

              5,禁止使用telnet通过vty进入路由器

                     Line vty 0 4

                     No transport input telnet

              6,启用SSH通过vty进入路由器

                     Line vty 0 4

                     Transport input ssh

用AutoSecure加强Cisco路由器安全

       AutoSecure可以在目标路由器上执行以下任务:

              禁止某些潜在的不安全的全局服务

              启用某些基于安全的全局服务

              禁止某些潜在的不安全的接口服务

              启用恰当的安全相关的日志

              逐步加强对路由器管理访问的安全

              逐步加强路由器转发层面的安全

       Auto secure [management | forwarding] [no-interact]

Cisco快速向前转发:Cisco Express Forwarding,如果路由器平台支持此类缓存的 话,AutoSecure将启用CEF,配置了CEF的路由器比使用一台标准缓存的路由器能  更好的应对SYS Flood攻击.

       用命令:ip cef启用该功能.

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=388转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!