Tt Cisco CCNP
笔记(三)
一、配置
CISCO IOS
防火墙
防火墙的三种体系:
包过滤:
通过创建
ACL
对
L4
协议数据包进行过滤。
包过滤缺点:不能防止地址欺骗、不能有效过滤分片包、难于维护数量过多的
ACL
、不能很好的阻止
一些特殊的服务。
应用代理网关
(ALG
,
Application Layer Gateway)
:
将所有数据包解封检查,安全度极高。如图:
R1------------ALG----------R2
1、
R1
发起
TCP
连接到
ALG
,此时会话中止。
2、
ALG
发送请求到
R2
。
3、
R2
回应请求并新建一个
TCP
连接到
ALG
。
4、
ALG
回应
R1
,建立连接。
5、
通信全过程有两个
TCP
连接,
R1
只能将目的地址设为
ALG
。
ALG
缺点:
u
当检测信息数量过多时会导致性能下降。
u
ALG
只能为单一的应用增加服务,如果需要适应多个应用则要开启多个服务甚至使用多个
ALG
主机。
u
若
ALG
被攻破即代表整个网络被攻破了。
全状态包过滤:
维护所有穿过防火墙的流量状态,通过检测包状态进行过滤,效率最佳。此体系安全性略低于
ALG
,但也可以感知到应用层的应用类型。
优点:
u
维护数据包状态信息,跟踪所有连接,加速查询过程。
u
感知应用层,支持动态打开端口。
u
监控每一个数据包,检查内部状态表。
IOS
防火墙的三大特性:
CBAC(Content-Based Access Control)
、
Authentication Proxy
、
IPS
。
CBAC
:
u
维护状态信息。
u
通过状态信息进行数据包的放行或丢弃。
u
动态创建或删除
ACL
。
u
能阻止
DoS
攻击。
Authentication Proxy
:
u
提供
HTTP
、
HTTPS
、
FTP
和
Telnet
验证。
u
支持
TACACS+
和
RADIUS
协议,对每个用户进行验证。
IPS
:
u
对数据包进行深度检测,检查是否带有攻击信息。
u
可自定义
700
多种攻击。
u
当发现攻击时可执行四种操作:
Alarm
:发送一个警报到
SDM
或
Syslog
服务器。
Drop
:丢弃攻击数据包。
Reset
:发送
TCP Reset
来终止会话。
Block
:在指定的时间内阻止发送攻击包的
IP
地址和会话连接。
IOS
防火墙维护
TCP
流量的五大元素:
u
源
IP
地址
u
目的
IP
地址
u
源端口
u
目的端口
u
序列号
(65535
×
65535)
维护
UDP
流量时无序列号。
IOS
防火墙运行示例:
Outside----------(F0/0)FW(F1/0)---------Inside
FW
配置:
FW(config)#ip access-list extend 100
FW(config-ext-nacl)#deny ip any any
FW(config)#interface F0/0
FW(config-if)#ip access-group 100 in
FW(config)#ip inspect name 111 tcp
FW(config)#interface F1/0
FW(config-if)#ip inspect 111 in
ip inspect
的策略一般应用于内部
in
,外部
out
方向。
IOS
防火墙支持的主要协议:
•TCP (single channel)
|
•UDP (single channel)
|
•RPC
|
•FTP/FTPS
|
•TFTP
|
•Telnet / SSH
|
•UNIX R-commands
(such as rlogin, rexec, and rsh)
|
•SMTP
|
•HTTP / HTTPS
|
•ICMP
|
•SNMP
|
•Kazaa
|
•SQL*Net
|
•RTSP (such as Real Networks)
|
•Tacacs+ / Radius
|
•Signalling�CH.323 �CSkinny�CSIP
|
•Other multimedia:
�CMicrosoft NetShow
�CStreamWorks
�CVDOLive
|
•BGP
|
•And many others
|
|
IOS
防火墙相关配置:
启用报警和审记:
Router(config)#no ip inspect alert-off
Router(config#ip inspect audit-trail
大型网络中报警和审记可能会消耗较多资源。
指向日志服务器:
Router(config)#logging on
Router(config)#logging host [IP Address]
定义策略:
Router(config)#ip inspect name inspection-name protocol [alert {on|off}] [audit-trail {on|off } ] [timeout seconds]
应用策略
:
Router(config-if)#ip inspect inspection-name {in|out}
检验防火墙状态:
show ip inspect name inspection-name
show ip inspect config
show ip inspect interfaces
show ip inspect session [detail]
show ip inspect statistics
show ip inspect all
检修防火墙:
debug ip inspect function-trace
debug ip inspect object-creation
debug ip inspect object-deletion
debug ip inspect events
debug ip inspect timers
debug ip inspect detail
debug ip inspect protocol