东华理工大学毕业设计(论文) 企业局域网的安全设计方案
(2) 路由器路由协议安全配置
a、启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。
b、配置uRPF。uRPF有三种方式,strict方式、ACL方式和loose方式。在接入路由器上实施时,对于通过单链路接入网络的用户,建议采用strict方式;对于通过多条链路接入到网络的用户,可以采用ACL方式和loose方式。在出口路由器上实施时,采用loose方式。
Strict方式:
Router# config t !启用CEF
Router(Config)# ip cef
!启用Unicast Reverse-Path Verification Router(Config)# interface eth0/1
Router(Config-if)# ip verify unicast reverse-path
ACL方式: interface pos1/0
ip verify unicast reverse-path 190
access-list 190 permit ip {customer network} {customer network mask} any access-list 190 deny ip any any [log]
这个功能检查每一个经过路由器的数据包的源地址,若是不符合ACL的,路由器将丢弃该数据包。
Loose方式: interface pos 1/0
ip ver unicast source reachable-via any
这个功能检查每一个经过路由器的数据包,在路由器的路由表中若没有该数据包源IP地址的路由,路由器将丢弃该数据包。
2 启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。
c、RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。
d、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。
e、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。如: Router(Config)# access-list 10 deny 172.18.124.0 255.255.255.0 Router(Config)# access-list 10 permit any !禁止路由器接收更新172.18.124.0网络的路由信息
11
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 in !禁止路由器转发传播172.18.124.0网络的路由信息 Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 out
(3) 路由器其他安全配置
a、IP欺骗简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(172.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。
Router(Config)# access-list 100 deny ip 172.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any Router(Config)# access-list 100 permit ip any any Router(Config-if)# ip access-group 100 in
b、采用访问列表控制流出内部网络的地址必须是属于内部网络的。 Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 172.18.124.0 255.255.255.0 any Router(Config)# access-list 101 deny ip any any Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet” Router(Config-if)# ip address 172.18.124.0 255.255.255.0 Router(Config-if)# ip access-group 101 in
3.3.3 防火墙技术安全配置
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
12
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
(1) 防火墙的基本配置原则
防火墙的配置过程中需坚持以下三个基本原则: a、简单实用
b、全面深入 c、内外兼顾
(2) 防火墙的基本配置
a、用一条防火墙自带的串行电缆从笔记本电脑的COM口连到Cisco PIX 525防火墙的console口;
b、开启所连电脑和防火墙的电源,进入Windows系统自带的\超级终端\,通讯参数可按系统默认。进入防火墙初始化配置,在其中主要设置有:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。此时的提示符为:pix255>。
c、修改此特权用户模式密码。
命令格式为:enable password **************** [encrypted],这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。
d、激活以太端口
必须用enable进入,然后进入configure模式 PIX525>enable Password: PIX525#config t
PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 auto
在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
e、命名端口与安全级别 采用命令nameif
PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet0 outside security100 security0是外部端口outside的安全级别(0安全级别最高) security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。
f、配置以太端口IP 地址 采用命令为:ip address
13
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
内部网络为:172.18.124.0 255.255.255.0 外部网络为:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 172.18.124.0 255.255.255.0 PIX525(config)#ip address outside 222.20.16.1 255.255.255.0 g、配置远程访问[telnet]
在默认情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet 172.18.124.0 255.255.255.0 inside PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside 测试telnet 在[开始]->[运行] telnet 172.18.124.1 PIX passwd:
输入密码:**************** h、访问列表(access-list)
访问列表也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,允许访问主机:222.20.16.254的www,端口为:80
PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside i、地址转换(NAT)和端口转换(PAT)
NAT跟路由器基本是一样的,首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 172.18.124.0 255.255.255.0 外部地址是很有限的,主机必须单独占用一个IP地址,解决公用一个外部IP(222.20.16.201),则必须配置PAT,这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0 PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0 j、DHCP Server
14
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面配置DHCP Server,地址段为172.18.124.100—172.18.124.255
DNS: 主202.99.224.8 备202.99.224.68 主域名称:abc.com.cn
DHCP Client 通过PIX Firewall PIX525(config)#ip address dhcp DHCP Server配置
PIX525(config)#dhcp address 172.18.124.100—172.18.124.255 inside PIX525(config)#dhcp dns 202.99.224.8 202.99.224.68 PIX525(config)#dhcp domain abc.com.cn
k、静态端口重定向(Port Redirection with Statics)
端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口。这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。 命令格式有两种,分别适用于IP包和TCP/UDP通信: ● static[(internal_if_name,
external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]
● static [(internal_if_name, external_if_name)]
{tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]
此命令中的以上各参数解释如下:
internal_if_name:内部接口名称;external_if_name:外部接口名称;{tcp|udp}:选择通信协议类型;{global_ip|interface}:重定向后的外部IP地址或共享端口;local_ip:本地IP地址;[netmask mask]:本地子网掩码;max_conns:允许的最大TCP连接数,默认为\,即不限制;emb_limit:允许从此端口发起的连接数,默认也为\,即不限制;norandomseq:不对数据包排序,此参数通常不用选。 我们具体实施如下
● 外部用户向172.18.124.99的主机发出Telnet请求时,重定向到10.1.1.6。 ● 外部用户向172.18.124.99的主机发出FTP请求时,重定向到10.1.1.3。 ● 外部用户向172.18.124.208的端口发出Telnet请求时,重定向到10.1.1.4。 ● 外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时,重定向到10.1.1.5。
15
企业网络安全解决方案的设计
