Tt Cisco CCNP笔记(三)

Tt Cisco CCNP 笔记(三)
 
一、配置 CISCO IOS 防火墙
 
防火墙的三种体系:
 
包过滤:
 
通过创建 ACL L4 协议数据包进行过滤。
包过滤缺点:不能防止地址欺骗、不能有效过滤分片包、难于维护数量过多的 ACL 、不能很好的阻止
一些特殊的服务。
 
 
应用代理网关 (ALG Application Layer Gateway)
 
将所有数据包解封检查,安全度极高。如图:
 
R1------------ALG----------R2
 
1、  R1 发起 TCP 连接到 ALG ,此时会话中止。
2、  ALG 发送请求到 R2
3、  R2 回应请求并新建一个 TCP 连接到 ALG
4、  ALG 回应 R1 ,建立连接。
5、  通信全过程有两个 TCP 连接, R1 只能将目的地址设为 ALG
 
ALG 缺点:
u  当检测信息数量过多时会导致性能下降。
u  ALG 只能为单一的应用增加服务,如果需要适应多个应用则要开启多个服务甚至使用多个 ALG 主机。
u  ALG 被攻破即代表整个网络被攻破了。
 
 
全状态包过滤:
 
维护所有穿过防火墙的流量状态,通过检测包状态进行过滤,效率最佳。此体系安全性略低于 ALG ,但也可以感知到应用层的应用类型。
优点:
u  维护数据包状态信息,跟踪所有连接,加速查询过程。
u  感知应用层,支持动态打开端口。
u  监控每一个数据包,检查内部状态表。
 
 
 
 
IOS 防火墙的三大特性: CBAC(Content-Based Access Control) Authentication Proxy IPS
 
CBAC
u  维护状态信息。
u  通过状态信息进行数据包的放行或丢弃。
u  动态创建或删除 ACL
u  能阻止 DoS 攻击。
 
Authentication Proxy
u  提供 HTTP HTTPS FTP Telnet 验证。
u  支持 TACACS+ RADIUS 协议,对每个用户进行验证。
 
IPS
u  对数据包进行深度检测,检查是否带有攻击信息。
u  可自定义 700 多种攻击。
u  当发现攻击时可执行四种操作:
Alarm :发送一个警报到 SDM Syslog 服务器。
Drop :丢弃攻击数据包。
Reset :发送 TCP Reset 来终止会话。
Block :在指定的时间内阻止发送攻击包的 IP 地址和会话连接。
 
 
IOS 防火墙维护 TCP 流量的五大元素:
 
u  IP 地址
u  目的 IP 地址
u  源端口
u  目的端口
u  序列号 (65535 × 65535)
维护 UDP 流量时无序列号。
 
IOS 防火墙运行示例:
 
Outside----------(F0/0)FW(F1/0)---------Inside
FW 配置:
FW(config)#ip access-list extend 100
FW(config-ext-nacl)#deny ip any any
FW(config)#interface F0/0
FW(config-if)#ip access-group 100 in
FW(config)#ip inspect name 111 tcp
FW(config)#interface F1/0
FW(config-if)#ip inspect 111 in
 
ip inspect 的策略一般应用于内部 in ,外部 out 方向。
 
IOS 防火墙支持的主要协议:
                                                    
•TCP (single channel)
•UDP (single channel)
•RPC
•FTP/FTPS
•TFTP
•Telnet / SSH
•UNIX R-commands
 (such as rlogin, rexec, and rsh)
•SMTP
•HTTP / HTTPS
•ICMP
•SNMP
•Kazaa
•SQL*Net
•RTSP (such as Real Networks)
•Tacacs+ / Radius
•Signalling�CH.323 �CSkinny�CSIP
•Other multimedia:
�CMicrosoft NetShow
�CStreamWorks
�CVDOLive
•BGP
•And many others
 
 
 
IOS 防火墙相关配置:
 
启用报警和审记:
Router(config)#no ip inspect alert-off
Router(config#ip inspect audit-trail
大型网络中报警和审记可能会消耗较多资源。
 
指向日志服务器:
Router(config)#logging on
Router(config)#logging host [IP Address]
 
定义策略:
Router(config)#ip inspect name inspection-name protocol [alert {on|off}] [audit-trail {on|off } ] [timeout seconds]
 
应用策略 :
Router(config-if)#ip inspect inspection-name {in|out}
 
检验防火墙状态:
show ip inspect name inspection-name
show ip inspect config
show ip inspect interfaces
show ip inspect session [detail]
show ip inspect statistics
show ip inspect all
 
检修防火墙:
debug ip inspect function-trace
debug ip inspect object-creation
debug ip inspect object-deletion
debug ip inspect events
debug ip inspect timers
debug ip inspect detail
debug ip inspect protocol
 

你可能感兴趣的:(网络,笔记,Cisco,休闲,ccnp)