14.外部主机Telnet密码设置
图5.14 外部主机Telnet密码设置
15.内部主机远程登录到外部主机,进行Telnet测试
图5.15 内部主机Telnet外部主机
16 边界路由器上进行CBAC配置,进行流量过滤,使得外网无法访问内外
图5.16 CBAC配置
17 .CBAC有效性测试,结果为内部主机可以telnet外部主机,外部主机无法telnet内部主机
图 5.17.1 外部主机telnet内部主机
图 5.17.2 内部主机telnet外部主机
6. 结论
CBAC的配置步骤
①决定路由器上的哪个接口作为内部接口,哪个接口作为外部接口
内部接口(internal)是指连接发起的数据包进入CBAC路由器的接口,外部接口(external)是流量出去后返回CBAC路由器的接口,如果要配置双向CBAC,推荐先配置单向CBAC,测试正常后再配置另外一边。
注意:如果不配置内部端口,则除了外部端口外的所有端口都是内部端口
②创建普通的IP ACL列表过滤进入和离开内部网络的流量,并保证那些要监视的出站流量允许被通过
推荐在配置CBAC之前,先用ACL(应用到接口上)允许某些必要的流量进入或离开内部网络,这样做简化了以后的CBAC配置和相关排错,inspect会在这些deny的条目上开孔,允许指定的流量进入
③(可选)改变全局的连接超时时间
Router(config)# ip inspect tcp synwait-time # 等待多长时间来完成TCP连 接(三次握手),默认是30秒 Router(config)# ip inspect tcp finwait-time #等待多长时间来完成TCP连接 关闭,默认是5秒
Router(config)# ip inspect tcp idle-time #TCP连接的空闲时间,默认是3600 秒
Router(config)# ip inspect udp idle-time #UDP连接的空闲时间,默认是30秒 Router(config)# ip inspect dns-timeout #配置DNS查询条目在状态表中存在的 时间,默认是5秒,优先级高于UDP空闲时间
④(可选)配置应用程序端口映射(Port Application Mapping(PAM))
CBAC是那个PAM来决定要监视的应用连接类型,如果要监视的那些使用非标准端口的应用程序,如HTTP使用8080端口,必须要手动配置。 PAM表中有三类条目:
System-defined entries-默认的应用程序端口条目 User-defined entries-用户定义的应用程序端口条目
Host-specific entries-User-defined entries的一种,如果一个应用程序同时存在默认端口和用户自定义的端口,则用户自定义的条目称为Host-specific entries 配置PAM条目:
Router(config)# ip port-map application_name port port_# #ACL指定哪些设备使用非标准的端口,如果不加代表全部设备。
⑤定义CBAC监视规则
定义哪些条目要加入到状态表,哪些流量被允许返回。如果出站流量不符合监视规则,路由器不会监视这些流量,只把他们当作普通流量处理。 ⑥在接口上激活监视规则
7.总结与体会
在本次实验中,实现了基于上下文的访问控制列表CBAC,实验中基本实现了流量过滤和跟踪监测,使得企业内部可以访问外部网络,外部无法访问内部的要求。
最后依Telnet为例通过ip inspect audit trail等进行了测试,
本次试验并不是很难,但一开始拿到题目并不会做,首先按照书上的步骤进行实验,但出现了ip inspect命令不支持的问题,于是换了路由器的IOS,其次,不知道怎么桥接虚拟机,就想用路由器代替,但路由器没有FTP功能,最后在老师帮助下,桥接了虚拟机,并最终基本完成了实验要求。
附录A 参考文献
[1] AllanReid .思科网络技术学院教程CCNA4广域网技术[M] .北京:人民邮电出版社.2008年2月1日 [2] 崔北亮.非常网管-网络管理从入门到精通[M].北京:人民邮电出版社. 2006-6 [3] sain. 基于上下文访问控制(CBAC)介绍与分析.pdf.[EB/OL] http://www.xuebuyuan.com/1307465.html?mobile=1.2013-10-09 .
[4] (美)奥多姆,麦克唐纳.思科网络技术学院教程CCNA2路由器与路由基础[M].北京:人民邮电出版社. 2008-2-1
[5] 谢希仁.计算机网络(第5版)[M].北京: 电子工业出版社. 1989