Cisco 訪問控制列表

來源:本站原創 CISCO 超過985 views圍觀 0條評論

Cisco 訪問控制列表

       ACL是順序執行的;ACL最后默認有一條拒絕所有流量的語句.

    標準編號ACL:

              Access-list access-list-number {deny | permit} source-address [source-wildcasd]

Access-list-number介于1-99和1300-1999之間

    標準命名ACL

              Ip access-list standard access-list-name

    擴展編號ACL     

Access-list access-list-number {deny | permit} {protocol-number | protocol-keyword} {source source-wildcard | any | host} {source-port} {destination destination-wildcard |any | host} {destination-port} [established] [log | log-input]

    擴展命名ACL     

              Ip access-list extended access-list-name

    注釋ACL      

              Access-list access-list-number remark remark-of-acl

    將ACL應用到接口上

              Ip access-group {access-list-number | access-list-name} {in | out}

    啟用Turbo ACL

              Access-list compiled

              Show access-list compiled

IP地址欺騙對策

    入站方向:不允許任何源地址是內部主機或內部網絡地址的數據包進入一個私有網絡.

    出站方向:不允許任何源地址不是內部主機或內部網絡地址的數據包出站.

DoS TCP SYN攻擊對策

    方法有兩種:阻塞外部訪問;使用TCP攔截

    阻塞外部訪問:

              Access-list 109 permit tcp any 內部網絡地址段 established

目的是允許外部網絡對源自內部網絡的請求進行響應;拒絕任何從外部網絡主動發起的到內部網絡的TCP鏈接.

    使用TCP攔截:

              Router(config)#ip tcp intercept list 110

              Router(config)#access-list 110 permit tcp any 內部網絡地址段

              Router(config)#access-list 110 deny ip any any log

借助TCP攔截,路由器會檢查每一個入站的TCP連接企圖,確定源地址是否來自外部一個可達的主機;路由器軟件會分別和外部主機和內部主機建立連接,然后將這兩個連接結合起來;如果外部主機可達,就允許結合連接,如果外部主機不可達,就丟棄連接;因為要檢查每一個TCP連接嘗試,所以會增加路由器的CPU負擔,謹慎使用.

DoS Smurf攻擊對策

       Smurf攻擊,是向一個子網廣播地址發送大量ICMP包,IP地址偽裝成屬于這個子網.

       Router(config)#access-list 110 deny ip any host 192.168.1.255

       Router(config)#access-list 110 deny ip any host 192.168.1.0

       Router(config)#access-list 110 permit ip any any

Cisco IOS 12.0之后的版本默認都啟用了no ip directed-broadcast,可以防止此類ICMP攻擊,所以就不需要以上的ACL了.

Syslog日志

    Syslog日志信息會發送到以下幾個地方:

       1,控制臺(Console口)

           發送到Console口(控制臺)的日志消息不會被路由器保存.

       2,終端鏈路(Terminal lines)

           發送到Terminal lines的日志也不會被路由器保存

       3,內存緩沖區(Memory buffer)

           路由器重啟時,這些日志信息會丟失

       4,SNMP Trap

       5,Syslog服務器

    Syslog日志信息分為0-7共8個級別,數字越小,級別越高.

Syslog路由器命令(為路由器配置Syslog服務器的五個步驟)

    1,配置目的主機

       Logging {host-name | ip-address}

    2,設置日志安全級別

       Logging trap level

只向Syslog服務器發送特定級別level的日志信息

    3,設置Syslog設施

       Logging facility facility-type

Facility-type:Syslog設置類型:local0到local7

    4,設置源接口

       Logging source-interface interface-type interface-number

    5,啟用日志

       Logging on

為企業網絡設計安全的管理和報告系統

       帶外安全管理指南

              1,應該提供最高安全級別的安全;應該消除在生產網絡上傳遞不安全協議的風險.

              2,應該保持主機和網絡設備上時鐘的同步

              3,應該記錄變更并歸檔配置.

       帶內安全管理指南

              1,確定是否需要對設備進行管理和監視

              2,盡可能使用IPSec           

              3,用SSH或SSL代替Telnet

              4,確定是否任何時候都需要開放管理通道

              5, 應該保持主機和網絡設備上時鐘的同步

              6, 記錄變更并歸檔配置.

配置SSH服務器

       確保Cisco IOS是12.1(1)T之后的版本,且具有IPSec特性集.

       確保該路由器已經配置為本地認證或AAA認證.

       確保每一臺目標路由器都具有惟一的主機名

       確保每一臺目標路由器都是用了正確的網絡域名

       配置過程需要一下幾部:

              1,用ip domain-name 配置IP域名

                     Ip domain-name cisco.com

              2,用crypto key generate rsa配置RSA密鑰

                     Crypto key generate rsa general-key modulus 1024

              3,ip ssh time-out配置SSH客戶端和路由器間SSH連接的超時時間

                     Ip ssh time-out 120

              4,ip ssh authentication-retries配置SSH重試次數

                     Ip ssh authentication-retries 4

              5,禁止使用telnet通過vty進入路由器

                     Line vty 0 4

                     No transport input telnet

              6,啟用SSH通過vty進入路由器

                     Line vty 0 4

                     Transport input ssh

用AutoSecure加強Cisco路由器安全

       AutoSecure可以在目標路由器上執行以下任務:

              禁止某些潛在的不安全的全局服務

              啟用某些基于安全的全局服務

              禁止某些潛在的不安全的接口服務

              啟用恰當的安全相關的日志

              逐步加強對路由器管理訪問的安全

              逐步加強路由器轉發層面的安全

       Auto secure [management | forwarding] [no-interact]

Cisco快速向前轉發:Cisco Express Forwarding,如果路由器平臺支持此類緩存的 話,AutoSecure將啟用CEF,配置了CEF的路由器比使用一臺標準緩存的路由器能  更好的應對SYS Flood攻擊.

       用命令:ip cef啟用該功能.

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=388轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏