第五章提升Cisco路由器的安全性.ppt

计算机网络技术培训教材中国人民保险公司目 录第一章 Cisco路由器产品介绍第二章 配置Cisco路由器第三章 管理Cisco路由器第四章 Cisco路由器故障排除第五章 提升Cisco路由器的安全性第六章 PICC网络范例第五章 提升Cisco路由器的安全性1.访问控制列表2.将路由器建成堡垒主机3.SNMP1 访问控制列表•访问控制列表概述•访问控制列表的功能•按正确顺序创建访问控制列表•访问控制列表分类•标准访问控制列表•扩展访问控制列表访问控制列表概述•由于不同网段间的通信都要经过路由设备，因此路由器提供了通信流量的过滤能力•访问控制列表（ACL）是应用到路由器接口的指令列表，是一组连续的允许和拒绝的陈述语句的集合•ACL可基于源地址、目的地址、端口号等指示条件•ACL的定义是基于每一种协议的访问控制列表的功能a. 限制网络流量、提高网络性能b. 提供了对流量的控制手段c. 提供网络访问的基本安全手段例如，ACL允许某一主机访问你的网络，而阻止另一主机访问相同的网络d. 在路由器的接口处决定那种类型的通信流量被转发、那种类型的通信流量被阻塞例如，你可以允许telnet通信流量被路由，同时拒绝所有ftp通信流量。

访问控制列表的分类•访问控制列表分为两类：1. 标准访问控制列表只能按源地址过滤2. 扩展访问控制列表可以按源和目标地址与服务过滤•在旧版IOS中，访问表类型按编号定义：编号协议类型1~99IP标准100~199IP扩展•新版IOS允许命名访问表，可以指定所生成访问表的类型访问控制列表的配置任务•为创建一个访问控制列表，需执行下列任务：–定义一个访问控制列表–将访问控制列表应用到路由器的一个接口配置标准访问控制列表•定义标准ACL Router(config)# access-list access-list-number {deny|permit} source [source-wildcard] [log]•将ACL应用到某个端口Router(config-if)#ip access-group access-list-number {in|out}Inbound ACL 处理过程For Standard IP Access ListsIncoming packetAccess liston interface?Next entry in listDoes sourceaddress match?More entries?Apply conditionDenyPermitYesNoYesNoICMP MessageProcess PacketYesNoDo routetable lookupRoute tointerfaceOutbound ACL 处理过程For Standard IP Access ListsICMP MessageOutgoing packetDoes sourceaddress match?More entries?PermitYesNoYesNoDo routetable lookupYesNoNext entry in listApply conditionAccess list on interface?DenySource-wildcard•Source-wildcard是用来辨识source ip地址是否符合我们制定的规则。

•当source-wildcard的位为1时，则是“don’t care”不关心；当source-wildcard掩码的位为0时，则是“need match”需要匹配•当source-wildcard掩码省略时，则是使用默认值0.0.0.0•any代表任何地址，表示source address 0.0.0.0和source wildcard 255.255.255.255Source-wildcard应用举例•例1：source: 203.66.47.50 source-wildcard: 0.0.0.0 表示所有位必须符合，所以只有IP地址为203.66.47.50的符合•例2：source: 203.66.47.0 source-wildcard: 0.0.0.255 表示只有前三组需符合，所以有一整个C级的IP地址符合标准ACL配置举例•例1：允许源IP地址为203.66.47.50的数据包通过 access-list 1 permit 203.66.47.50 0.0.0.0access-list 1 permit 203.66.47.50 0.0.0.0•例2：允许源IP地址为203.66.47.X整个C级网络的数据包通过 access-list 2 permit 203.66.47.0 0.0.0.255access-list 2 permit 203.66.47.0 0.0.0.255•例3：拒绝源IP地址为203.66.47.50的数据包通过 access-list 3 deny 203.66.47.50access-list 3 deny 203.66.47.50•例4：拒绝源IP地址为203.66.47.X的整个C级网络的数据包通过， 但允许其它任何IP数据包通过 access-list 4 deny 203.66.47.0 0.0.0.255access-list 4 deny 203.66.47.0 0.0.0.255 access-list 4 permit anyaccess-list 4 permit anyACL配置规则•自上而下的顺序–Place more specific references first•ACL的最后隐含地拒绝全部–Unless access list ends with explicit permit any•新ACL语句只能加到最后–Cannot selectively add/remove lines标准ACL应用举例标准ACL应用举例（续）例1：允许源网络地址为172.16.0.0的通信流量通过。

access-list 1 permit 172.16.0.0 0.0.255.255(隐含access-list 1 deny 0.0.0.0 255.255.255.255或access-list 1 deny any )interface ethernet0 ip access-group 1 outinterface ethernet1 ip access-group 1 out标准ACL应用举例（续）例2 ：拒绝一个特定子网（172.16.4.0）的通信流量通过access-list 1 deny 172.16.4.0 0 0.0.0.255access-list 1 permit any(隐含access-list 1 deny 0.0.0.0 255.255.255.255或access-list 1 deny any)interface ethernet0 ip access-group 1 out扩展访问控制列表•扩展ACL提供了比标准ACL更广阔的控制范围，它既检查数据包的源地址，也检查数据包的目的地址此外，还可以检查数据包的特定的网络协议类型、端口号等等•扩展ACL提供了更加精确的流量控制。

•扩展ACL使用的数字表号在100－199之间配置扩展ACL扩展ACL中，命令access-list的完全语法格式为：Router(config)# access-list access-list-number {deny | permit} protocol souce [souce-wildcard destination destination-wildcard] [operator operand]扩展ACL配置实例例1：拒绝FTP通信流量通过E0access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 permit ip 172.16.4.0 0.0.0.255 0.0.0.0 255.255.255.255(隐含deny any any)interface ethernet 0ip access-group 101 out2 将路由器建成堡垒主机•控制台端口•Telnet访问•其它路由器访问方法将路由器建成堡垒主机（保护控制台端口）•路由器控制台缺省没有配置口令。

•可以用下列命令设置口令：sparky (config)# line console 0sparky (config-line)# password ciscosparky (config-line)# login•要保护路由器控制台端口不被非法连接将路由器建成堡垒主机（控制telnet访问）•Cisco路由器提供vty0～vty4共5个虚终端地telnet访问•Cisco路由器缺省不对这些线路指定口令，在无口令的情况下，可防止任何人用虚终端登录Router# telnet 10.1.1.3trying 10.1.1.3…OpenPassword required, but none set[Connection to 10.1.1.3 closed by foreign host]•可使用exec-timeout命令设置超时控制将路由器建成堡垒主机（控制telnet访问（续））•可以用标准IP访问表控制允许哪个IP地址访问VTY线路•在vty端口应用ACL举例：sparky (config) # access-list 30 permit 10.1.1.0.0.0.0.255sparky (config) # access-list 31 permit 10.1.1.44.0.0.0.0sparky(config)# line vty 0 3sparky(config-line)# access-class 30 insparky(config)# line vty 4sparky(config-line)# access-class 31 in•注意，我们用访问列表31配置VYT线路4，只让10.1.1.44进入。

这样，如果遇到问题，则管理员可以用路由器上的这个VTY线路访问和检查问题，因为这个线路只有管理员的工作站才能访问将路由器建成堡垒主机（http服务）•缺省情况下，IOS 12有个全局命令：ip http server这个命令使路由器可以作为HTTP服务器用于配置•应使用no ip http server命令关闭此功能，以保证路由器的安全•如果真要使用Wed界面，则可以采取更安全的措施使用http port命令将HTTP服务移到缺省端口80之外，使不速之客不容易找到SNMP的安全性•SNMP最大的问题是人们通常使用缺省通讯字符串名只读字符串为public，读写字符串为private应设置自己的独立字符串•可结合使用ACL功能提升路由器SNMP的安全性如下举例：access-list 5 permit 10.1.1.0 0.0.0.255access-list 6 permit 10.1.1.5snmp-server community pub-community RO 5snmp-server community pub-community RW 6。