mingming056 发表于 2009-6-2 19:53:50

IOS防火墙

1.ios防火墙包括
l context-based access control (CBAC)---状态检测功能
-------CBAC作用:
1).监控tcp/ udp流量并且动态的放行
2).运用层异常检测
3).DOS防御
4).审计和告警
l authentication proxy--穿越用户认证功能
-------支持http https ftp telnet协议认证
l intrusion prevention system---运用层防御功能
2.CBAC配置内容
l 配置内外,选择接口
l 配置ACL
1>ACL配置策略
1. 配置从非信任网络到信任网络的ACL
2. 不配置从信任网络到不信任网络的ACL
3. 放行源自非信任网络的icmp流量
4. 配置一条ACL条目deny掉所有源为保护网络的流量----防止地址欺骗
5. 配置一条ACL条目deny掉广播和源为255.255.255.255的流量
6. 配置ACL过滤掉私有网络地址
7. 默认deny所有流量
FW(config)#ip access-list extended CBAC
FW(config-ext-nacl)# 1 deny ip 192.168.1.0 0.0.0.255 any---防止地址欺骗
FW(config-ext-nacl)# 2 deny ip 10.0.0.0 0.255.255.255 any-----特殊地址
FW(config-ext-nacl)# 3 deny ip 172.16.0.0 0.15.255.255 any…………
FW(config-ext-nacl)# 4 deny ip 192.168.0.0 0.0.255.255 any…………
FW(config-ext-nacl)# 5 deny ip host 0.0.0.0 any            …………
FW(config-ext-nacl)# 6 deny ip 127.0.0.0 0.255.255.255 any…………
FW(config-ext-nacl)# 7 deny 224.0.0.0 31.255.255.255 any   特殊地址
FW(config-ext-nacl)# 8 permit tcp any host 192.168.1.1 eq www---如果内部有http服务器。
FW(config-ext-nacl)# 9 permit icmp any any------------------放行icmp流量
FW(config-ext-nacl)# 10 deny ip any any
2>ACL放置策略
方向由外向内,可以放在external的in方向,或者internal 的out方向
l 配置监控策略
监控策略应该是outbound方向,这样如果inside访问outside。会在防火墙上放行回来的流量。除此之外将deny所有。
1.审计和告警
router(config)#logging on---路由器默认打开
router(config)#logging 10.0.0.3---syslog服务器,使用udp 514端口,单项流量
router(config)#ip inspect audit-trail------------开启审计
router(config)#no ip inspect alert-off----------开启告警
2.半开连接限制
1.ip inspect tcp synwait-time-------最多等待syn的时间
2.ip inspect max-incomplete high 1000----半开连接大于1000
ip inspect max-incomplete low 800-------半开连接小于800后恢复
          3. ip inspect one-minute high
ip inspect one-minute low------一分钟以内的半开连接
          4. ip inspect tcp max-incomplete host 50.
单个主机半开连接最大为50,多余50者替换掉最旧的半开连接
          5. ip inspect tcp max-incomplete host 50 block-time 1
多余50以后,此主机为源所产生的tcp连接全部干掉一分钟
3.edle-time限制
ip inspect tcp idle-time
ip inspect udp idle-time
ip inspect dns idle-time
4.port-to-application map(PAM)映射协议到端口
1.ip port-map ftp port tcp 2121----修改ftp的端口为2121
2.access-list 5 permit 10.1.1.1
ip port-map http port tcp 21 list 5----只是10.1.1.1的21号端口提供http服务。
5.为特定协议设置告警,设计,timeout
router(config)# ip inspect name FWRULE smtp alert on audit-trail on timeout 300
router(config)# ip inspect name FWRULE ftp alert on audit-trail on timeout 300
6.过滤java
ip access-list 10 deny 172.26.26.0 0.0.0.255
ip access-list 10 permit 172.27.27.0 0.0.0.255
ip inspect name FWRULE http java-list 10 alert on audit-trail on time 300
7.分片防御
ip inspect name FWRULE fragment max 254 timeout 4
最多cache256,等待1秒种后续包。
8. 运用
router(config)#interface e0/0
router(config-if)# ip inspect FWRULE in
3. authentication proxy--穿越用户认证功能
file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/ksohtml/wps_clip_image1.png
l 支持四个标准协议HTTP,HTTPS,FTP,TELNET
l 必须要用AAA做,必须认证授权一起做
l 一旦认证成功,授权流量都可以通过
l 可以在任何接口的inbound,outbound运用
用户的inbound流量穿越防火墙,弹出用户名和密码,输入正确,防火墙到AAA服务器上获取授权,也就是一个访问控制列表,防火墙会把这个访问控制列表运用在以前的outside访问控制列表的前面,来放行授权的适当流量。auth-proxy会先于访问控制列表进行检测。
Auth-proxy配置步骤(参考上图)
1. 防火墙上创建inside、outside接口,两侧路由器配置静态路由,保证路由畅通
AAA上静态路由:route add 10.1.1.0 mask 255.255.255.0 192.168.1.10
2. 首先要有一个列表,要挡住流量让其输入用户名和密码。但是要放行AAA恢复的流量
ip access-list extended CONTROL
permit tcp host 192.168.1.241 eq tacacas host 192.168.1.10
deny ip any any
interface fa0/0
ip access-group CONTROL IN
3.AAA的初步配置:
aaa new-mode
aaa authentication login LINE line none
line con 0
login authentication LINE
line aux 0
login authentication LINE
tacacs-server host 192.168.1.241 key cisco
4. 在AAA创建FW以及穿越用户的用户名和密码,测试FW和AAA的连通性
test aaa group tacacs wanghui cisco new-modle
5. 防火墙上做穿越用户的认证和授权
aaa authentication login default group tacacs+
aaa authorization auth-proxy default group tacacs+
这里写的认证和授权是没有地方调用的,所以写的是default,而没有写名字
6. 指定穿越用户的访问方式
ip auth-proxy name AUTH telnet
ip auth-proxy name AUTHhttp
interface fa0/0
ip auth-proxy AUTH
7.AAA上配置auth-proxy选项
界面配置---new services 创建两个新的服务
service :auth-proxy(必须这么写)protocol:(空)--------http and https
service :auth-proxy            protocol :ip -------------telnet and ftp
应用以后会发现user setup的最下面会多出相应选项
做telnet 选择auth-proxy ip 下面写如下
priv-lvl=15
proxyacl#1=permit tcp any host 10.1.1.10 eq telnet
proxyacl#2=permit tcp any host 10.1.1.10 eq 80
这里列表的源一定要写any, auth-proxy会自动把它替换为认证的源ip .
然后原样复制到上面。这个时候由外向内telnet就可以了。
8. 如果做http登陆
在out上面连接一台主机,配置静态路由route add10.1.1.0   255.255.255.0 192.168.1.10 。然后打开in的http服务。在主机浏览器上http://10.1.1.10发现登陆失败。这是因为防火墙没有启用http服务。
    在做http的auth-proxy的时候,我们希望防火墙在用户访问时会弹出一个窗口,让其输入用户名和密码。要支持这个功能我们必须在中心防火墙上启用ip http server. 但是如果只是这样别人就可以远程网关防火墙了,所以我们可以只是启用服务,并不打开网管的功能。
access-list 1 deny any   
ip http access-class 1
ip http authentication aaa
页: [1]
查看完整版本: IOS防火墙