Cisco IOS防火墙基于上下文访问控制的配置

来源:本站原创 CISCO 超过696 views围观 0条评论

SECUR 第五章 Cisco IOS防火墙基于上下文访问控制的配置

不要在核心层和分布层的Cisco路由器上应用大量防火墙特征.

Cisco IOS防火墙可以提供一下对网络的保护功能:

       基于上下文的访问控制

       认证代理

       入侵检测

CBAC具有以下特性:

       如果数据包不被ACL特行拒绝,被CBAC审查后进入防火墙

       CBAC允许或拒绝特定的TCP和UDP流量通过防火墙

       用会话信息维护一个状态表

       ACL被动态的建立和删除

       CBAC保护网络免受DoS攻击

Cisco IOS防火墙的认证代理特征能使网络管理员基于每用户应用特定的安全策略.

用CBAC保护用户免受攻击

只有通过了接口的ACL后,才被CBAC审查;若数据包被ACL丢弃了,则不被CBAC审查.

       CBAC仅审查和监控连接的控制通道,数据通道不被审查.

       CBAC审查能识别控制通道中应用程序特有的命令.

       CBAC审查跟踪所有TCP包中的序列号,丢弃不在期望范围内序列号的数据包.

CBAC提供三种阈值抵御DoS攻击

       1,半打开的TCP和UDP会话的总数

       2,基于时间的半打开会话的总数

       3,基于每个主机的半打开TCP会话的总数.

配置CBAC

       打开审计跟踪和报警

              Ip inspect audit-trail:打开审计跟踪

              No ip inspect alert-off:打开告警.

       全局超时值和阈值

Ip inspect tcp synwait-time seconds :定义在丢弃会话之前软件将等待多长时间使TCP会话达到已建立状态.

Ip inspect finwait-time seconds :定义在防火墙检测到FIN交换后还将管理这个TCP会话多长时间.

Ip inspect tcp idle-time seconds

Ip inspect udp dile-time seconds

Ip inspect dns-timeout seconds

       全局半打开连接限制

              Ip inspect max-incomplete high number

              Ip inspect max-incomplete low number

Ip inspect one-minute high number

              Ip inspect one-minute low number

       通过主机限制半打开连接

              Ip inspect tcp max-incomplete host number block-time minutes

Block-time minutes:如果该值为0(默认值),每一个新连接到达这台主机,软件会删除已经存在的最老的半打开会话.

Block-time minutes:如果该值不为0,软件就删除所有的到这台主机的半打开会话,并阻塞所有的到这台主机的新的连接请求.直到阻塞时间超时,恢复新的连接请求.

端口到应用的映射:PAM

              Ip port-map application-name port new-port-number [list acl-number]

              Show ip port-map [application-name | port port-number]:显示PAM配置

       定义应用协议审查规则

              1,定义一个审查规则,指定接口上哪些IP流量将被审查.

              Ip inspect name inspection-name protocol [alert {on | off}] [audit-trail {on | off}]                         [timeoutseconds]

              2,Java审查规则:在防火墙上打开java小程序过滤.

Ip inspect name inspection-name http java-list acl-number [alert {on | off}] [audit-trail {on | off}]  [timeout seconds]

CBAC不检测和阻塞被封装的Java小程序.比如在zip包,jar包中的java小程序,不被防火墙阻塞过滤;CBAC也不检测和阻塞通过FTP 和 HTTP在非标准端口下载的java小程序.

              3,RPC应用审查规则

Ip inspect name inspection-name rpc program-number number [wait-time minutes ][alert {on | off}] [audit-trail {on | off}]  [timeout seconds]

Program-number:只有指定了程序号的流量才被允许通过;凡是没有指定程序号的流量都会被阻塞.

              4,SMTP应用检测规则

              Ip inspect name inspection-name smtp [alert {on | off}] [audit-trail {on | off}]                             [timeout seconds]

使用以上命令后,只有SMTP的如下命令才允许通过防火墙,其他的SMTP命令都将被阻塞:data , expn, helo, help, mail, noop, quit, rcpt, rset, saml, send, soml, vrfy.

              5,IP数据包分片审查规则

在相应的初始化分片之前收到的没有初始化的分片都将被丢弃;即防火墙会丢弃任何其分片不按顺序到达的数据包,这可能在某些情况下导致问题.

              Ip inspect inspection-name fragment max number timeout seconds

路由器接口审查规则和ACL

       应用CBAC审查规则到接口上

              Ip inspect inspection-name {in | out }

       测试和验证CBAC

              Show ip inspect session:察看会话信息

              Show ip inspect inspection-name | config | interface | session [detail] | all

Debug ip inspect {function-trace | object-creation | object-deletion | events | timers | protocols | detailed}

              No ip inspect :删除整个CBAC配置.

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=391转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!