演示:基于上下文的訪問控制(IOS防火墻的配置)
演示:基于上下文的訪問控制(IOS防火墻的配置)
技術交流與答疑請加入群:1952289
思科IOS防火墻是屬于思科IOS系統的一個重要安全特性�����,它被集成到思科的路由器中��,作為一個安全特×××體現���。雖然IOS防火墻只是IOS系統的一個特性集���,但是它并不遜色于安全市場上某些專業級防火墻�。思科基于IOS的防火墻組件包括:進行常規包過濾的訪問控制列表��、動態訪問控制列表�����、日志系統�����、實時報警��、審計系統���、***檢測系統�、基于上下文的智能檢測訪問控制列表及NAT翻譯系統等���。本書主要討論IOS防火墻組件中的基于上下文的智能檢測控制列表(CBAC)�,由于基于IOS的防火墻是路由器的一個特性集且功能強大��,所以有較高的性價比���,在不同的子網邊界設置基于IOS的防火墻是一個良好的建議�。
理解基于思科IOS防火墻的典型技術CBAC工作原理
以前使用比較多的是標準訪問列表和擴展訪問列表���,這兩種形式的列表都是靜態的ACL過濾方式��。這種靜態的過濾方式在沒有人工參與的情況下�,系統不能根據實際情況的變化����,動態調整ACL列表中的過濾條目�����。但在實際工作中往往需要更靈活的方式來提高系統的安全性�,于是我們在思科的安全解決方案中提供了高級訪問控制列表����,以滿足這樣的需求����。高級訪問控制列表的基本要素是:在不需要管理員干預的情況下����,自動對訪問控制列表中的條目進行創建和刪除�����,例如�,反射訪問控制列表��、動態訪問控制列表����、基于環境的訪問控制CBAC(Context-Based Access Control)等���,都是在不對任何配置進行修改的情況下實時創建通道來提供訪問機制的��。這些通道通常是為響應內部網絡向外部網絡發出的訪問請求而創建的��。當啟動通道的會話終止���,或該通道閑置時間超過一個設定值后�,通道將被關閉��。其具體工作原理如圖10.29所示����。建議啟動CBAC時在防火墻的外部接口上拒絕所有的進入內部網絡的流量�,這樣可以保證從Internet發向內部網絡的主動連接全部被拒絕����,當然這些主動連接的會話中���,也包括***流量����。
第一步:首先由內部網絡中的主機向外部網絡發起某項服務的主動連接請求���。
第二步:啟動思科IOS防火墻的路由器將內部網絡發來的連接進行“出方向”的審計����,根據思科IOS防火墻的安全自適應算法���,打亂用于重組TCP數據包的序列號��,并記錄TCP數據包的初始標記狀態���。
第三步:基于IOS的防火墻轉發連接到外部網絡的目標地址����。
第四步:外部網絡返回的應答數據到達IOS的防火墻�。正常情況下�����,IOS防火墻的外部接口應該是拒絕所有從外部網絡主動流向防火墻內部的流量���。
第五步:此時基于IOS的防火墻會檢查先前連接的出向審計狀態��,查看數據是否符合內部網絡主動發起并由外部網絡回應到內部的連接���。其中將包括數據“連接狀態”及“連接標記”的合法性�。如果檢測成功�����,基于IOS的防火墻會在外部網絡接口上打開一個臨時的會話隧道����,讓數據返回到內部網絡�����。該會話隧道在外部網絡接口的訪問控制列表生效之前被執行�,優先于常規的訪問控制列表�。
第六步:基于IOS的防火墻將數據返回給內部網絡主機���。
注意:CBAC(Context-Based Access Control)只是IOS防火墻技術中的一種典型應用�,一個完整的IOS防火墻���,還包括***檢測�、拒絕服務式***檢測����、阻塞Java程序����、實時報警和審計跟蹤�、事件日志記錄�、NAT等應用�����,所以不能將CBAC看成一個完整的IOS防火墻���,這是一個誤區��。
CBAC與自反ACL的區別在哪里?
通過上面對CBAC工作原理的描述��,它看上去和自反ACL的工作原理很相似����,那么�����,它們的區別在哪里��?CBAC能在應用層協議的基礎上增強全安性��,能夠智能的識別會話���,特別是在會話協商階段端口發生變化的應用層協議比如主動FTP���,關于這一點自反ACL是無法識別主動FTP的����,但是CBAC能做到�����。此外CBAC還能配置更多的安全組件功能協同工作���,比如:Java小程序的過濾�、設定TCP半開會話的數量���、UDP的超時���、并提供監視與消息發送功能���,關于這一些功能�����,單純的自反ACL是無法滿足的�����,簡而言之��、CBAC比自反ACL的安全聯動性更強��、識別方式更智能��、控制和過濾方式更廣泛�����。
演示:思科IOS防火墻的基本配置
演示目標:思科IOS防火墻上CBAC控制列表的基本配置��。
演示環境:如下圖10.30所示的演示環境����。
演示背景:如上圖所示的環境�,在路由器上配置基于IOS的防火墻功能CBAC�,將網絡劃分成外部網絡(非安全區域)����;內部網絡(安全區域)�;然后在基于IOS防火墻路由器的外部接口上拒絕所有的TCP�����、UDP�����、ICMP流量�����,在沒有啟動CBAC之前測試內外網絡的連通性狀況�,最后在啟動CBAC之后再來測試內外網絡的連通性狀況�,去體會CBAC的工作過程與應用效果�。而在這個過程中����,用戶需要注意的是CBAC在接口上的應用方向����。
演示步驟:
第一步:完成實驗所需要的基本配置�����,然后配置基于思科IOS防火墻的CBAC功能���,具體配置包括:接口IP地址的配置�����、路由協議的啟動�����,并在IOS防火墻的外部拒絕所有的TCP�、UDP�、ICMP流量進入防火墻的E1/0接口(該接口為CBAC的外部網絡接口)�,具體配置如下:
關于IOS防火墻上的基礎配置:
interface Ethernet1/0
ip address172.16.1.1 255.255.255.0
ip access-group 101 in
interfaceEthernet1/1
ip address172.16.2.1 255.255.255.0
access-list 101 denytcp any any
access-list 101 denyudp any any
access-list 101 denyicmp any any
注意:此時172.16.1.0/24子網的所有TCP����、UDP���、ICMP流量都無法進入172.16.2.0/24的子網�,因為在IOS防火墻的E1/0接口上的訪問控制列表deny(拒絕)上述所有流量����。當172.16.2.0/24的子網上發出ping 172.16.1.3主機時��,也不會ping通�����。因為172.16.2.0/24子網的ICMP請求流量能到達172.16.1.0/24子網���,雖然沒有任何訪問控制列表限制172.16.2.0子網的任何流量穿越IOS防火墻�,主動流向172.16.1.0子網���。但最終IOS防火墻的E1/0接口的訪問控制列表將deny 172.16.1.0/24子網回應給172.16.2.0的ICMP應答流量��。
第二步:配置IOS的防火墻�����,并將其應用到E1/0的出方向上���。配置如下:
關于CBAC的配置:
IOS_FW(config)#ipinspect name IOS_FW icmp * 審計ICMP流量
IOS_FW(config)#ipinspect name IOS_FW tcp * 審計TCP流量
IOS_FW(config)#ipinspect name IOS_FW udp * 審計UDP流量
IOS_FW(config)#interface Ethernet1/0
IOS_FW(config–if )#ip inspect IOS_FW out * 指示CBAC的應用方向
IOS_FW(config–if )#ip access-group 101 in
指令ip inspect nameIOS_FW配置CBAC控制列表的名稱為“IOS_FW”�;ip inspect name IOS_FW icmp�、ip inspect nameIOS_FW tcp和ip inspect name IOS_FW udp指示基于IOS的防火墻將審計ICMP�����、TCP和UDP流量�;ip inspect IOS_FW out指示在路由器的E1/0接口的外部網絡接口上應用審計功能����。需要注意的是�����,該演示環境在路由器的E1/0接口應用審計方向是“Out”��。對于初次配置思科IOS防火墻的用戶可能會有這樣的疑問:“應該將CBAC的功能應用在IOS防火墻的E1/0(防火墻的外部接口)的進入方向���,以便抵御從外部發起的主動***�。但為什么這里會應用到E1/0接口的出方向上�����?”筆者想要回答的是�����,千萬別把CBAC理解成常規的訪問控制列表�����,CBAC必須要先審計由內部網絡主動發向外部網絡的流量�����,并將其作為返回到內部網絡的安全規則���,這里需要記錄審計結果以作為先決條件��,然后決定CBAC的應用方向是IOS防火墻的E1/0的“Out”還是E1/1的“In”����。選定正確的參考點就可以清晰地理解這個原理��,如下圖10.31所示��。完成第二步的配置后����,再次到172.16.2.0/24子網上的主機向172.16.1.3主機發出ping�,如果CBAC沒有配置錯誤����,此時應該能ping通�。
第三步:請思考:“為什么完成了第二步的配置后����,內部網絡主機172.16.2.0/24子網就能ping通外部網絡172.16.1.0/24子網的主機?”這是因為基于思科IOS的防火墻CBAC為其建立了一個臨時會話隧道�,此處可以使用“show ip inspect sessions detail”指令來查看會話的信息���,如圖10.32所示�����。如果此時����,從172.16.1.0外部網絡主動訪問172.16.2.0的內部網絡��,那么���,這些主動訪問的流量都將被CBAC所拒絕�����,除非�����,在ACL101中明確申明允許進入內部網絡的流量�。
注意:CBAC除了可以審計上述實例中的ICMP���、TCP���、UDP流量以外��,還可以審計更多基于IP協議的重要網絡流量與程序���。
表10.32所列舉的各種應用程序與網絡協議是現代化企業網絡常用的技術標準�,但是整個基于思科IOS防火墻可防御與審計功能不止這些���,它擁有更廣泛的應用空間��,并且具備針對訪問Internet流量進行實時審計的行為��,如過濾網站�����、過濾Java的腳本等�����,具體可參考隨書光盤提供關于CBAC配置的詳細文檔�����。
