科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Cisco IOS防火墙的安全规则和配置(5)

Cisco IOS防火墙的安全规则和配置(5)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文主要介绍地址转换和访问控制两种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。试验环境是一台有fir ewall版本IOS的cisco2621路由器、一台交换机组成的局域网利用ISDN拨号上网。

作者:51CTO.COM 2007年10月30日

关键字: 访问控制 CISCO NAT 路由器 防火墙 iOS

  • 评论
  • 分享微博
  • 分享邮件

  tcp synwait-time is 30 sec(ip inspect tcp synwait-time 30:表示路由器在阻断会话前等待TCP会话达到连接建立状态的时间)

  tcp finwait-time is 5 sec(ip inspect tcp finwait-time 5:表示防火墙检测到一个FIN标志后仍继续管理TCP会话的时间长度)

  tcp idle-time is 3600 sec(ip inspect tcp idle-time 3600:在没有TCP连接后仍继续管理TCP会话的时间长度)

  udp idle-time is 30 sec(ip inspect udp idle-time 30:在UDP会话停止后仍继续管理UDP会话信息的时间长度)

  dns-timeout is 5 sec(ip inspect dns-timeout 5:DNS名字查询停止后仍继续被管理的时间)

  设置timeout值可以通过丢弃超过时限的会话来有效阻止DoS攻击释放系统资源,设置threshold值可以通过限制half-open会话的数量来阻止D oS攻击。CBAC提供三种threshold值来抵御DOS攻击:1、最大half-open 的TCP或UDP会话的数量。2、基于时间的half-open会话数量。3、每个host可以打开的TCP half-open会话的数量。对于超过threshold值的连接,CBAC会初始化旧的half-open连接,释放资源接受新的要求同步的数据包。

  第二步:配置access list

  access-list 101 permit icmp any any echo

  access-list 101 permit icmp any any echo-reply

  access-list 101 permit icmp any any unreachable

  access-list 101 permit icmp any any time-exceeded

  access-list 101 permit icmp any any packet-too-big

  access-list 101 permit icmp any any traceroute

  (以上命令允许ping包通过,主要用来排错,如果没有必要上述命令可以不做)

  access-list 101 permit any any eq smtp(允许在邮件服务器上的安全验证)

  access-list 101 deny ip any any log(CBAC要求禁止其他所有进入的ip包)

  第三步:根据实际环境定义一个检查规则。

  ip inspect name CBAC fragment maximum 256 timeout 1 (此命令12.1以后的版本出现,防止分段攻击)

  ip inspect name CBAC smtp

  ip inspect name CBAC ftp

  ip inspect name CBAC http

  ip inspect name CBAC tcp

  (进入的数据包必须与先前流出的数据包有相同的源/目的地址和端口号(源和目的对调),否则就被丢弃)

  ip inspect name CBAC udp timeout 5

  (如果配置了timeout值,那么应答数据包是在最后的UDP请求包被送出后的预定时间范围内收到的,

  就被允许通过防火墙返回)

  第四步:把检查规则定义到一个接口上。

  interface BRI0/0

  ip address negotiated

  ip access-group 101 in

  ip nat outside

  ip inspect CBAC out

  做完以上配置后,实际运行中路由器显示的log如下:

  04:20:27: %FW-6-SESS_AUDIT_TRAIL: http session initiator (172.16.18.1:1426) sent 656 bytes

  -- responder (202.108.36.156:80) sent 30740 bytes

  04:20:39: %SEC-6-IPACCESSLOGP: list 101 denied tcp 202.104.128.164(2933) ->

  202.104.47.135(80), 1 packet

  04:20:48: %SEC-6-IPACCESSLOGP: list 101 denied tcp 64.4.13.87(1863) ->

  202.104.47.135(1026), 1 packet

  04:22:52: %SEC-6-IPACCESSLOGP: list 101 denied tcp 202.104.128.164(2933) ->

  202.104.47.135(80), 1 packet

  04:23:03: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator (172.16.18.1:1433) sent 77 bytes

  -- responder (202.108.44.205:110) sent 45379 bytes

  04:23:09: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator (172.16.18.1:1435) sent 61 bytes

  -- responder (202.104.32.234:110) sent 1056 bytes

  04:23:22: %FW-6-SESS_AUDIT_TRAIL: udp session initiator (172.16.18.1:1431) sent 29 bytes

  -- responder (202.96.128.68:53) sent 240 bytes

  04:23:35: %SEC-6-IPACCESSLOGP: list 101 denied tcp 202.104.180.199(1262) -> 202.104.47.135(80)!

  最后,可以用debug ip inspect detail来调试CBAC。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章