企业网组网设计与仿真实现(9)

企业网组网设计与仿真实现

然后把ACL应用在VLAN虚接口 Core1(config)#int vlan 10

Core1(config-if)#ip access-group cvlan10 in

这样，1、款和2、款所创建的ACL就能实现普通部门能访问服务器群和外网，但不能访问其他部门。

3、网管部的访问限制

网管部门负责对整个企业网络的管理和维护，哪个部门哪台PC是谁使用，通过网管软件都能掌握得一清二楚，并且对于普通的软件故障，能够通过远程控制来实现维修，这样就需要网管部能访问整个企业网络。但由于其他部门之间不能互相访问，即使允许网管部VLAN访问其他部门，也会因为其他部门的流量不能返回而导致连接失败，这里我们就要使用CBAC的技术，实现网管部门单向发起连接后能让流量正常返回。

基于上下文的访问控制协议（CBAC）通过检查通过IOS防火墙的流量来发现＆管理TCP和UDP的会话状态信息。这些状态信息被用来在IOS防火墙访问列表创建临时通道。通过在流量向上配置IP Inspect列表，允许为受允许会话放回流量和附加数据连接，打开这些通路。

以下在Core1核心交换机上配置CBAC。

Core1(config)#ip inspect name NetMag tcp timeout 30 Core1(config)#ip inspect name NetMag udp timeout 5 Core1(config)#ip inspect name NetMag icmp timeout 10 Core1(config)#ip inspect name NetMag telnet timeout 60

为了减轻交换机负担，只有网管部门的流量从普通部门VLAN出去的时候，才建立相关状态表，所以把IP Inspect应用在普通部门VLAN虚接口的出站方向。

以下以应用在VLAN10为例（其他普通部门VLAN同样应用即可）： Core1(config)#int vlan 10

Core1(config-if)# ip inspect NetMag out

4.4.2 防止地址欺骗

地址欺骗是指行动产生的IP数据包伪造的源IP地址，以便冒充其他系统或保护发件人的身分，这是一种黑客的攻击形式，黑客使用一台计算机上网，而借用另外一台机

40

企业网组网设计与仿真实现

器的IP地址，从而冒充另外一台机器与服务器打交道。地址欺骗的可以发生在外网对内网的攻击，也可以是内部PC被恶意操控进行从内部发起的欺骗攻击。为了防止地址欺骗，进而发生对网络的其他恶意行为，本设计将从两个方向进行防御：在网关配置防地址欺骗的措施，在内网控制好员工PC不被使用虚假IP。

1、边界路由加固

在Gateway网关路由的s0/0口放置ACL规定哪些IP地址和协议可以通过边界路由器，而哪些被阻止，由此确保流量安全进出网络。

（1）首先过滤Bogons网段：

Bogons网段不会出现在Internet上. 包括下列地址： ? RFC 1918定义的私有地址 ? Loopback 口地址(127.0.0.0/8) ? IANA 保留的地址 ? 多播地址 (224.0.0.0/4) ? 学术研究用地址 (240.0.0.0/4) ? DHCP 本地私有地址 (169.254.0.0/16)

Gateway(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any Gateway(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any Gateway(config-ext-nacl)#deny ip 192.168.0.0 0.0.0.255 any Gateway(config-ext-nacl)# deny ip 224.0.0.0 15.255.255.255 any Gateway(config-ext-nacl)# deny ip 240.0.0.0 15.255.255.255 any Gateway(config-ext-nacl)# deny ip 0.0.0.0 0.255.255.255 any Gateway(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any Gateway(config-ext-nacl)# deny ip 192.0.2.0 0.0.0.255 any Gateway(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any

由于具体地址较多，这里不一一具体列明。关于更多Bogons的介绍和相关网段，参考附录A。

（2）然后针对TCP、UDP和ICMP进行配置：

Gateway(config)#ip access-list extended internet_in Gateway(config-ext-nacl)#permit tcp any any established Gateway(config-ext-nacl)#permit udp any eq domain any gt 1024

41

企业网组网设计与仿真实现

Gateway(config-ext-nacl)#deny icmp any any timestamp-request Gateway(config-ext-nacl)#deny icmp any any mask-request Gateway(config-ext-nacl)#deny icmp any any information-request Gateway(config-ext-nacl)#permit icmp any any 2、内网防止地址欺骗

在4.1.2条第8款提到过，使用DHCP来自动分配IP地址信息，可以为一些地址安全措施作前提。在这小节将利用DHCP的基础，防止恶意人员私自修改PC地址实现攻击。这里将在接入层交换机上使用三种技术来防止地址欺骗和基于地址欺骗的恶意行为，分别是DHCP Snooping、Dynamic ARP Inspection和IP Source Guard。

DHCP监听（DHCP Snooping）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机通过DHCP信息，能够拦截第二层VLAN域内的所有DHCP报文，并生成一个DHCP绑定表，里面包含DHCP的相关信息。Dynamic ARP Inspection(DAI)在交换机上提供IP地址和MAC地址的绑定， 并动态建立绑定关系。IP Source Guard 就是将端口、mac地址、IP地址、vlan、DHCP租期、包类型绑定在一起。

这三种技术都是基于DHCP绑定表来进行防止地址欺骗的。由于具体配置较负责，而且仿真软件都不能支持交换机上的高级技术，这里就不在列明具体配置。附录B上有这三种技术的具体说明。

4.4.3 边界路由器加固

边界路由器既网络边界的边缘或末点的路由器，提供了对外界网络的基本的安全保护。虽然有防火墙的加固，但边界路由器作为外网和内网阻隔的第一道屏障，也是恶意流量首先要面对的阻隔，也必须要设置一些基本的安全加固措施，才能确保恶意流量不会进入企业网内部。

1、网关路由器的访问限制

作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。

应只允许来自服务器群的IP地址访问并配置路由器。这时，可以使用access-class命令进行VTY访问控制，仅允许网管部门地址进行登陆。如下面命令所示：

42

企业网组网设计与仿真实现

Gateway(config)#access-list 10 permit 192.168.22.0 0.0.0.255 Gateway(config)#line vty 0 4

Gateway(config-line)#access-class 10 in Gateway(config-line)#exit 2、对外屏蔽SNMP

SNMP即简单网关协议，利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。

设置对外屏蔽简单网管协议SNMP。命令如下：

Gateway(config)# ip access-list extended internet_in Gateway(config-ext-nacl)# deny udp any any eq snmp Gateway(config-ext-nacl)# deny udp any any eq snmptrap 3、对外屏蔽远程登录协议telnet

首先，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。其次，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获，这是极其危险的。

设置对外屏蔽远程登录协议telnet。命令如下：

Gateway(config)# ip access-list extended internet_in Gateway(config-ext-nacl)# deny tcp any any eq telnet 4、对外屏蔽其它不安全的协议或服务

这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，如下面命令所示。

在全局模式下做ACL策略对外屏蔽其它不安全的协议或服务。命令如下 Gateway(config)# ip access-list extended internet_in Gateway(config-ext-nacl)# deny tcp any any range 512 514 Gateway(config-ext-nacl)# deny udp any any eq 111 Gateway(config-ext-nacl)# deny tcp any any eq 2049 5、针对DoS攻击的设计

DoS攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具

43

企业网组网设计与仿真实现

破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。下面命令显示了如何设计针对常见DoS攻击的ACL。

在全局模式下配置ACL针对DoS攻击的设计。命令如下 Gateway(config)# ip access-list extended internet_in Gateway(config-ext-nacl)# deny icmp any any eq echo Gateway(config-if)#interface fastEthernet 0/0 Gateway(config-if)#no ip derected-broadcast

在配置完以上命令之后，因为ACL中默认最后有一条deny所有IP流量的条目，所以必须手动加入一条permit所有IP流量，并把ACL加入网关出口接口上。

Gateway(config)# ip access-list extended internet_in Gateway(config-ext-nacl)# permit ip any any

4.4.4 防火墙安全加固

Cisco ASA防火墙的性能和功能都非常强大，可以在防火墙上定义更多、更深入的安全防御措施，来让内网出站、外网入站的流量得到受控。在ASA防火墙的具体配置中有多个独有特性，这些特性中有些功能非常明显，而有些却略显隐蔽；有些特性是默认启动的，而有些则需要手动进行配置。

1、设置TCP Intercept

TCP Intercept（TCP截获）特性能够为隐藏在防火墙后的主机设备提供保护，抵御成为“SYN泛洪”的特定类型网络攻击。使用SYN泛洪，攻击者通过好像发自不存在或不可达主机的连接请求，有效的使受害系统负荷过重，从而达到拒绝向目标主机提供服务的目的。这个功能特性虽然是默认启用的，但是仍需要一些手动设置。这里以http和FTP为例：

FW(config)# class-map http

FW(config-cmap)# match port tcp eq www FW(config-cmap)# class-map ftp

FW(config-cmap)# match port tcp eq ftp FW(config-cmap)# policy-map global_policy FW(config-pmap)# class http

44