-------------
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 out
(3) 路由器其他安全配置
a、IP欺骗简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(172.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。
Router(Config)# access-list 100 deny ip 172.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any Router(Config)# access-list 100 permit ip any any Router(Config-if)# ip access-group 100 in
b、采用访问列表控制流出内部网络的地址必须是属于内部网络的。 Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 172.18.124.0 255.255.255.0 any Router(Config)# access-list 101 deny ip any any Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet” Router(Config-if)# ip address 172.18.124.0 255.255.255.0 Router(Config-if)# ip access-group 101 in
3.3.3 防火墙技术安全配置
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
(1) 防火墙的基本配置原则
防火墙的配置过程中需坚持以下三个基本原则: a、简单实用
-------------
-------------
b、全面深入 c、内外兼顾
(2) 防火墙的基本配置
a、用一条防火墙自带的串行电缆从笔记本电脑的COM口连到Cisco PIX 525防火墙的console口;
b、开启所连电脑和防火墙的电源,进入Windows系统自带的\超级终端\,通讯参数可按系统默认。进入防火墙初始化配置,在其中主要设置有:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。此时的提示符为:pix255>。
c、修改此特权用户模式密码。
命令格式为:enable password **************** [encrypted],这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。
d、激活以太端口
必须用enable进入,然后进入configure模式 PIX525>enable Password: PIX525#config t
PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 auto
在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
e、命名端口与安全级别 采用命令nameif
PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet0 outside security100 security0是外部端口outside的安全级别(0安全级别最高) security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。
f、配置以太端口IP 地址 采用命令为:ip address
内部网络为:172.18.124.0 255.255.255.0 外部网络为:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 172.18.124.0 255.255.255.0
-------------
-------------
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0 g、配置远程访问[telnet]
在默认情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet 172.18.124.0 255.255.255.0 inside PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside 测试telnet 在[开始]->[运行] telnet 172.18.124.1 PIX passwd:
输入密码:**************** h、访问列表(access-list)
访问列表也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,允许访问主机:222.20.16.254的www,端口为:80
PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside i、地址转换(NAT)和端口转换(PAT)
NAT跟路由器基本是一样的,首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 172.18.124.0 255.255.255.0 外部地址是很有限的,主机必须单独占用一个IP地址,解决公用一个外部IP(222.20.16.201),则必须配置PAT,这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0 PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0 j、DHCP Server
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面配置DHCP Server,地址段为172.18.124.100—172.18.124.255
DNS: 主202.99.224.8 备202.99.224.68
-------------
-------------
主域名称:abc.com.cn
DHCP Client 通过PIX Firewall PIX525(config)#ip address dhcp DHCP Server配置
PIX525(config)#dhcp address 172.18.124.100—172.18.124.255 inside PIX525(config)#dhcp dns 202.99.224.8 202.99.224.68 PIX525(config)#dhcp domain abc.com.cn
k、静态端口重定向(Port Redirection with Statics)
端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口。这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。 命令格式有两种,分别适用于IP包和TCP/UDP通信: ● static[(internal_if_name,
external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]
● static [(internal_if_name, external_if_name)]
{tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]
此命令中的以上各参数解释如下:
internal_if_name:内部接口名称;external_if_name:外部接口名称;{tcp|udp}:选择通信协议类型;{global_ip|interface}:重定向后的外部IP地址或共享端口;local_ip:本地IP地址;[netmask mask]:本地子网掩码;max_conns:允许的最大TCP连接数,默认为\,即不限制;emb_limit:允许从此端口发起的连接数,默认也为\,即不限制;norandomseq:不对数据包排序,此参数通常不用选。 我们具体实施如下
● 外部用户向172.18.124.99的主机发出Telnet请求时,重定向到10.1.1.6。 ● 外部用户向172.18.124.99的主机发出FTP请求时,重定向到10.1.1.3。 ● 外部用户向172.18.124.208的端口发出Telnet请求时,重定向到10.1.1.4。 ● 外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时,重定向到10.1.1.5。
● 外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时,重定向到10.1.1.5。
● 外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时,重定向到10.1.1.7的80号端口。
-------------
-------------
以上重定向过程要求如图3.2所示,防火墙的内部端口IP地址为10.1.1.2,外部端口地址为172.18.124.216。
图3.2
以上各项重定向要求对应的配置如下:
static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0 l、显示与保存结果
显示结果所用命令为:show config; 保存结果所用命令为:write memory。
防火墙是目前保护网络免遭黑客袭击的有效手段,但不是完善手段,因此,需要其它环节,来配合完成网络的安全系统。 3.3.4 内部网络隔离
为了减少企业局域网内部的威胁,我们利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段
-------------
(整理)企业网络安全解决方案的设计
