網(wǎng)絡(luò)安全--邊界安全（1）

創(chuàng)新互聯(lián)建站自2013年起，公司自成立以來始終致力于為企業(yè)提供官網(wǎng)建設(shè)、移動互聯(lián)網(wǎng)業(yè)務(wù)開發(fā)（小程序設(shè)計、手機(jī)網(wǎng)站建設(shè)、app軟件定制開發(fā)等），并且包含互聯(lián)網(wǎng)基礎(chǔ)服務(wù)（域名、主機(jī)服務(wù)、企業(yè)郵箱、網(wǎng)絡(luò)營銷等）應(yīng)用服務(wù)；以先進(jìn)完善的建站體系及不斷開拓創(chuàng)新的精神理念，幫助企業(yè)客戶實現(xiàn)互聯(lián)網(wǎng)業(yè)務(wù)，嚴(yán)格把控項目進(jìn)度與質(zhì)量監(jiān)控加上過硬的技術(shù)實力獲得客戶的一致贊譽。

現(xiàn)在人們生活依賴互聯(lián)網(wǎng)程度越來越高，網(wǎng)絡(luò)安全也逐步進(jìn)入人們?nèi)粘Ｒ曇埃庞每ㄐ畔⑿孤㈤_房記錄被查詢、商業(yè)機(jī)密泄漏等等；無不牽動著一個人、一個公司、甚至一個國家的神經(jīng)。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)邊界變得也越來越復(fù)雜，比如web應(yīng)用、無線接入、DCI、×××等技術(shù)的應(yīng)用，導(dǎo)致網(wǎng)絡(luò)邊界變的好像很龐雜，無從下手；但是無論是對邊界進(jìn)行分層加固，還是加強對各個網(wǎng)絡(luò)入口的安全審計，亦或是對使用人員進(jìn)行安全培訓(xùn)；都必須對各自網(wǎng)絡(luò)心中有數(shù)。網(wǎng)絡(luò)邊界設(shè)備一般是路由器、交換機(jī)或者防火墻。

 

邊界安全—ACL

 

   路由器或者交換機(jī)作為邊界時，基本上都配置了訪問控制列表ACL，像銀行等有些地方ACL的數(shù)量可能非常龐大，達(dá)到了幾千條甚至更多，邊界使用較多的設(shè)備一般為：Nexus7K、cisco7600、Cisco6500、huawei 9300、huwei CloudEngine等，下面將以cisco為例介紹邊界重要的安全措施ACL。

ACL應(yīng)用情形：

1、 控制鄰居設(shè)備間的路由信息。

2、 控制穿越設(shè)備的流量網(wǎng)絡(luò)訪問。

3、 控制console、VTY訪問。

4、 定義IPsec ×××等的感興趣流。

5、 實施QoS等其他特性。

 

ACl配置

1、 創(chuàng)建一個ACL

2、 將ACL應(yīng)用到一個接口中。

 

ACl類型

 

1、 標(biāo)準(zhǔn)ACL。編號1~99，只能過濾源IP數(shù)據(jù)包。

2、 擴(kuò)展ACL。編號100~199，可以基于源IP、目的IP、協(xié)議、端口、flag等進(jìn)行流量過濾。

3、 命名ACL。可以應(yīng)用在標(biāo)準(zhǔn)和擴(kuò)展ACL上，用名字代替數(shù)字，方便配置管理，使用較多。

4、 分類ACL。一般用于DoS等安全鑒別。

5、 其他很少用的ACL類型。動態(tài)ACL、自反ACL、time ACL、調(diào)試ACL等。

 

ACL實施準(zhǔn)則

 

1、 ACL可以在多個接口同時使用(復(fù)用)。

2、 同一接口只能對同一協(xié)議使用一個ACL，例如一個出站ACL、一個入站ACL。針對不同協(xié)議，一個接口上可以應(yīng)用多與兩個ACL。

3、 ACL匹配順序處理，精確的放在前面。

4、 始終要遵循先創(chuàng)建ACL，然后在應(yīng)用到接口上；修改時就要先移除acl，修改完成后，在應(yīng)用到接口。

5、 應(yīng)用到路由器的出站ACL只檢查通過路由器的流量，就是說不會檢查自身產(chǎn)生的流量。

6、 對于標(biāo)準(zhǔn)ACL，應(yīng)該應(yīng)用在流量傳輸離目的地最近的位置，對于擴(kuò)展ACL應(yīng)用在離源最近的位置。

 

ACL應(yīng)用舉例

 

1、 假如一個數(shù)據(jù)中心的邊界是一臺交換機(jī)，內(nèi)部僅提供Web，DNS應(yīng)用，為安全考慮實施ACL控制。

Ipaccess test-sample

Deny ip 10.0.0.0/8 any      ------拒絕RFC1918地址

Deny ip 172.16.0.0/21 any

Deny ip 192.168.0.0/16 any

Permit tcp any 1.1.1.2/32 eq www  -------開放web tcp的80端口

Permit udp any 1.1.1.3/32 eq 53     --------開放DNS udp 的53端口

然后把該acl應(yīng)用到連接出口的in方向即可。

2、 假如該數(shù)據(jù)中心服務(wù)器正在遭受***，由于沒有其他防護(hù)檢測設(shè)備，使用acl進(jìn)行排查。

 

access-list 169 permit icmp any any echo

access-list 169 permit icmp any anyecho-reply

access-list 169 permit udp any any eq echo

access-list 169 permit udp any eq echo any

access-list 169 permit tcp any anyestablished

access-list 169 permit tcp any any

access-list 169 permit ip any any

然后把接口應(yīng)用到出口的in方向，然后通過showip access-list查看匹配數(shù)目，最后在匹配數(shù)據(jù)較大的acl條目上使用log-input，接下來看日志就可以發(fā)現(xiàn)***源IP了。(在Nexus交換機(jī)上需要添加statistics per-entry才可以進(jìn)行acl匹配計數(shù))。

文章名稱：網(wǎng)絡(luò)安全--邊界安全(1)
轉(zhuǎn)載來于：http://www.yijiale78.com/article26/pjdcjg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、App開發(fā)、品牌網(wǎng)站制作、關(guān)鍵詞優(yōu)化、Google、軟件開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)