Tt Cisco CCNP笔记（三）

2007-12-26 14:20:06

　标签：网络笔记 Cisco CCNP　　　[推送到技术圈]

Tt Cisco CCNP笔记（三）

一、配置CISCO IOS防火墙

防火墙的三种体系：

包过滤：

通过创建ACL对L4协议数据包进行过滤。

包过滤缺点：不能防止地址欺骗、不能有效过滤分片包、难于维护数量过多的ACL、不能很好的阻止

一些特殊的服务。

应用代理网关(ALG，Application Layer Gateway)：

将所有数据包解封检查，安全度极高。如图：

R1------------ALG----------R2

1、 R1发起TCP连接到ALG，此时会话中止。

2、 ALG发送请求到R2。

3、 R2回应请求并新建一个TCP连接到ALG。

4、 ALG回应R1，建立连接。

5、通信全过程有两个TCP连接，R1只能将目的地址设为ALG。

ALG缺点：

u 当检测信息数量过多时会导致性能下降。

u ALG只能为单一的应用增加服务，如果需要适应多个应用则要开启多个服务甚至使用多个ALG主机。

u 若ALG被攻破即代表整个网络被攻破了。

全状态包过滤：

维护所有穿过防火墙的流量状态，通过检测包状态进行过滤，效率最佳。此体系安全性略低于ALG，但也可以感知到应用层的应用类型。

优点：

u 维护数据包状态信息，跟踪所有连接，加速查询过程。

u 感知应用层，支持动态打开端口。

u 监控每一个数据包，检查内部状态表。

IOS防火墙的三大特性：CBAC(Content-Based Access Control)、Authentication Proxy、IPS。

CBAC：

u 维护状态信息。

u 通过状态信息进行数据包的放行或丢弃。

u 动态创建或删除ACL。

u 能阻止DoS攻击。

Authentication Proxy：

u 提供HTTP、HTTPS、FTP和Telnet验证。

u 支持TACACS+和RADIUS协议，对每个用户进行验证。

IPS：

u 对数据包进行深度检测，检查是否带有攻击信息。

u 可自定义700多种攻击。

u 当发现攻击时可执行四种操作：

Alarm：发送一个警报到SDM或Syslog服务器。

Drop：丢弃攻击数据包。

Reset：发送TCP Reset来终止会话。

Block：在指定的时间内阻止发送攻击包的IP地址和会话连接。

IOS防火墙维护TCP流量的五大元素：

u 源IP地址

u 目的IP地址

u 源端口

u 目的端口

u 序列号(65535×65535)

维护UDP流量时无序列号。

IOS防火墙运行示例：

Outside----------(F0/0)FW(F1/0)---------Inside

FW配置：

FW(config)#ip access-list extend 100

FW(config-ext-nacl)#deny ip any any

FW(config)#interface F0/0

FW(config-if)#ip access-group 100 in

FW(config)#ip inspect name 111 tcp

FW(config)#interface F1/0

FW(config-if)#ip inspect 111 in

ip inspect的策略一般应用于内部in，外部out方向。

IOS防火墙支持的主要协议：

•TCP (single channel)	•UDP (single channel)
•RPC	•FTP/FTPS
•TFTP	•Telnet / SSH
•UNIX R-commands (such as rlogin, rexec, and rsh)	•SMTP
•HTTP / HTTPS	•ICMP
•SNMP	•Kazaa
•SQL*Net	•RTSP (such as Real Networks)
•Tacacs+ / Radius	•Signalling–H.323 –Skinny–SIP
•Other multimedia: –Microsoft NetShow –StreamWorks –VDOLive	•BGP
•And many others

IOS防火墙相关配置：

启用报警和审记：

Router(config)#no ip inspect alert-off

Router(config#ip inspect audit-trail

大型网络中报警和审记可能会消耗较多资源。

指向日志服务器：

Router(config)#logging on

Router(config)#logging host [IP Address]

定义策略：

Router(config)#ip inspect name inspection-name protocol [alert {on|off}] [audit-trail {on|off } ] [timeout seconds]

应用策略:

Router(config-if)#ip inspect inspection-name {in|out}

检验防火墙状态：

show ip inspect name inspection-name

show ip inspect config

show ip inspect interfaces

show ip inspect session [detail]

show ip inspect statistics

show ip inspect all

检修防火墙：

debug ip inspect function-trace

debug ip inspect object-creation

debug ip inspect object-deletion

debug ip inspect events

debug ip inspect timers

debug ip inspect detail

debug ip inspect protocol

本文出自 “欢迎光临Tt Cisco的Blog” 博客，请务必保留此出处http://tt1986.blog.51cto.com/275530/56712

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：