Cisco IOS防火墻基于上下文訪問控制的配置

來源:本站原創 CISCO 超過813 views圍觀 0條評論

SECUR 第五章 Cisco IOS防火墻基于上下文訪問控制的配置

不要在核心層和分布層的Cisco路由器上應用大量防火墻特征.

Cisco IOS防火墻可以提供一下對網絡的保護功能:

       基于上下文的訪問控制

       認證代理

       入侵檢測

CBAC具有以下特性:

       如果數據包不被ACL特行拒絕,被CBAC審查后進入防火墻

       CBAC允許或拒絕特定的TCP和UDP流量通過防火墻

       用會話信息維護一個狀態表

       ACL被動態的建立和刪除

       CBAC保護網絡免受DoS攻擊

Cisco IOS防火墻的認證代理特征能使網絡管理員基于每用戶應用特定的安全策略.

用CBAC保護用戶免受攻擊

只有通過了接口的ACL后,才被CBAC審查;若數據包被ACL丟棄了,則不被CBAC審查.

       CBAC僅審查和監控連接的控制通道,數據通道不被審查.

       CBAC審查能識別控制通道中應用程序特有的命令.

       CBAC審查跟蹤所有TCP包中的序列號,丟棄不在期望范圍內序列號的數據包.

CBAC提供三種閾值抵御DoS攻擊

       1,半打開的TCP和UDP會話的總數

       2,基于時間的半打開會話的總數

       3,基于每個主機的半打開TCP會話的總數.

配置CBAC

       打開審計跟蹤和報警

              Ip inspect audit-trail:打開審計跟蹤

              No ip inspect alert-off:打開告警.

       全局超時值和閾值

Ip inspect tcp synwait-time seconds :定義在丟棄會話之前軟件將等待多長時間使TCP會話達到已建立狀態.

Ip inspect finwait-time seconds :定義在防火墻檢測到FIN交換后還將管理這個TCP會話多長時間.

Ip inspect tcp idle-time seconds

Ip inspect udp dile-time seconds

Ip inspect dns-timeout seconds

       全局半打開連接限制

              Ip inspect max-incomplete high number

              Ip inspect max-incomplete low number

Ip inspect one-minute high number

              Ip inspect one-minute low number

       通過主機限制半打開連接

              Ip inspect tcp max-incomplete host number block-time minutes

Block-time minutes:如果該值為0(默認值),每一個新連接到達這臺主機,軟件會刪除已經存在的最老的半打開會話.

Block-time minutes:如果該值不為0,軟件就刪除所有的到這臺主機的半打開會話,并阻塞所有的到這臺主機的新的連接請求.直到阻塞時間超時,恢復新的連接請求.

端口到應用的映射:PAM

              Ip port-map application-name port new-port-number [list acl-number]

              Show ip port-map [application-name | port port-number]:顯示PAM配置

       定義應用協議審查規則

              1,定義一個審查規則,指定接口上哪些IP流量將被審查.

              Ip inspect name inspection-name protocol [alert {on | off}] [audit-trail {on | off}]                         [timeoutseconds]

              2,Java審查規則:在防火墻上打開java小程序過濾.

Ip inspect name inspection-name http java-list acl-number [alert {on | off}] [audit-trail {on | off}]  [timeout seconds]

CBAC不檢測和阻塞被封裝的Java小程序.比如在zip包,jar包中的java小程序,不被防火墻阻塞過濾;CBAC也不檢測和阻塞通過FTP 和 HTTP在非標準端口下載的java小程序.

              3,RPC應用審查規則

Ip inspect name inspection-name rpc program-number number [wait-time minutes ][alert {on | off}] [audit-trail {on | off}]  [timeout seconds]

Program-number:只有指定了程序號的流量才被允許通過;凡是沒有指定程序號的流量都會被阻塞.

              4,SMTP應用檢測規則

              Ip inspect name inspection-name smtp [alert {on | off}] [audit-trail {on | off}]                             [timeout seconds]

使用以上命令后,只有SMTP的如下命令才允許通過防火墻,其他的SMTP命令都將被阻塞:data , expn, helo, help, mail, noop, quit, rcpt, rset, saml, send, soml, vrfy.

              5,IP數據包分片審查規則

在相應的初始化分片之前收到的沒有初始化的分片都將被丟棄;即防火墻會丟棄任何其分片不按順序到達的數據包,這可能在某些情況下導致問題.

              Ip inspect inspection-name fragment max number timeout seconds

路由器接口審查規則和ACL

       應用CBAC審查規則到接口上

              Ip inspect inspection-name {in | out }

       測試和驗證CBAC

              Show ip inspect session:察看會話信息

              Show ip inspect inspection-name | config | interface | session [detail] | all

Debug ip inspect {function-trace | object-creation | object-deletion | events | timers | protocols | detailed}

              No ip inspect :刪除整個CBAC配置.

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=391轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏