在Cisco IOS上構建“窮人的防火墻”

2019-11-04 23:26:19

字體：大中小

來源：轉載

供稿：網友

　　現在，網絡安全已成為每個聯網企業的首要關注問題，而且防火墻也已作為一種主要的安全機制被人們采用。雖然一些企業已經開始致力于“防火墻應用”，（我并不是說這是一種最好的解決辦法），但這些應用對于中小型企業來說相當昂貴。比如，一臺Cisco PIX Firewall要花費幾千美元。
　　
　　不過，現在出現了一種價廉物美的防火墻解決方案，可能這種解決方案一直被大家所忽視。目前，許多公司都使用標準的路由器聯入互聯網，假如您使用的是Cisco路由器，那么您應該知道Cisco IOS集成了一系列構建防火墻和入侵檢測系統的功能。利用這些功能，您就可以不再需要單獨的防火墻設備（firewall box），使用已有的Cisco路由器您完全可以構建自己的防火墻。我喜歡把這種方案稱之為“窮人的防火墻”。
　　
　　相關安全資源
　　
　　美國國家安全局（National Security Agency）站點下的executive summary for Cisco router security有一些關于如何利用Cisco路由器構建防火墻的非常好的建議。這是我所見到的介紹這方面知識的最好站點。
　　
　　獲取合適的的IOS
　　
　　首先，您應該獲取適合自己Cisco路由器的IOS。假如您只對最基本的防火墻感愛好（對ip地址和端口進行過濾），那么您可以通過Cisco路由器中已有的擴展訪問控制列表來實現這種過濾。但假如您想要防火墻更強大的功能，那么您還需要加入防火墻/入侵檢測系統(FW/IDS)。
　　
　　訪問 Cisco IOS Upgrade Planner ，您可以獲取帶有FW/IDS的IOS，不過，只有Cisco站點的注冊用戶才能訪問此鏈接。利用IOS Upgrade Planner，您可以選擇合適的路由器模塊，您需要的IOS版本（最好是最新的版本），以及您尋找的軟件功能。請一定確保您選擇的IOS帶有FW/IDS。（為使用FW/IDS，您可能需要支付少量注冊許可費用）。接著，您可以下載選好的IOS，升級路由器到新版本，并重啟路由器。
　　
　　配置NAT
　　
　　下一步，您需要正確配置防火墻和IDS。就象我前文提到的那樣，可以通過擴展IP訪問控制列表配置最基本的防火墻。同樣，這也是配置更高級防火墻的基準點。
　　因為許多公司使用了網絡地址轉換（NAT）和企業內部私有TCP/IP地址，所以我們首先應該配置這部分的訪問控制列表。通常，NAT在如下環境中實現：路由器通過串口與英特網聯接，通過以太口聯結局域網。這種情況下，NAT通過在企業內部網中使用私有TCP/IP地址，加強了內部網絡的秘密性和安全性。而且，企業更換Internet服務提供商（ISP）后，也不必改動內部網絡的地址。
　　
　　可以按照如下的步驟配置Cisco路由器：
　　
　　interface Serial1/0
　　
　　description Internet connection – external
　　
　　ip address 1.1.1.254 255.255.255.0 !real Internet network
　　
　　no ip PRoxy-arp
　　
　　ip nat outside
　　
　　interface Ethernet1/1
　　
　　description Local Network Ethernet Connection - internal
　　
　　ip address 10.253.2.2 255.255.0.0 !local private network
　　
　　no ip proxy-arp
　　
　　ip nat inside
　　
　　ip nat inside source static 10.253.1.1 1.1.1.1 ! Web server
　　
　　ip nat inside source static 10.253.1.2 1.1.1.2 ! Email server
　　
　　ip route 0.0.0.0 0.0.0.0 1.1.1.0
　　
　　注重，本地Web服務器的IP地址現在是10.253.1.1，本地郵件服務器的IP地址是10.253.1.2。在實現防火墻之前，這兩個擁有公共IP地址的系統，1.1.1.1 （Web服務器）和 1.1.1.2 （郵件服務器），在英特網上沒有受到保護。而現在，這兩臺服務器擁有了內部IP地址，它們的外部公共IP地址在防火墻處被轉換成為內部IP地址。
　　
　　同樣，其他的內部和外部地址都相應被轉換，目的地址不是本地10.x.x.x網絡的包會通過串口發送出去。
　　
　　配置訪問列表
　　
　　現在可以針對某類網絡的安全來配置訪問列表了。假如您的安全策略是在Web服務器上只答應HTTP協議，在郵件服務器上只答應SMTP協議，那么您應該配置如下的控制列表：
　　
　　access-list 100 remark Begin -- IP .1 10.253.1.1 Web Server
　　
　　access-list 100 permit tcp any eq www host 1.1.1.1
　　
　　access-list 100 remark End ----------------------------------
　　
　　!
　　
　　access-list 100 remark Begin -- IP .2 10.253.1.2 Email Server
　　
　　access-list 100 permit tcp any eq smtp host 1.1.1.2 gt 1023
　　
　　access-list 100 permit tcp any host 1.1.1.2 eq smtp
　　
　　access-list 100 remark End
　　然后，使用下面的命令將控制列表應用到串口（英特網接口）上：
　　
　　interface Serial1/0
　　
　　ip access-group 100 in
　　
　　對網絡安全來說，將防火墻阻斷的各類數據記錄到日志中是相當重要的一點。盡管每個訪問控制列表都清楚地列出了應該拒絕的數據包，但防火墻卻不能將這些報文記錄到日志中。我建議在網絡中安裝一臺日志服務器，讓路由器登錄到該日志服務器上，記錄所有被防火墻拒絕的數據包。在本例中，網絡中的Web服務器也是日志服務器，您可以通過下面的命令對路由器進行相應配置：
　　
　　access-list 100 deny ip any any log
　　
　　logging 10.253.1.1
　　
　　配置NBAR
　　
　　說了這么多，我們仍然還沒有真正接觸到Cisco FW/IDS。下面我們將配置基于網絡應用的識別(NBAR)，這是防火墻的一個特征。基本上，NBAR能識別應用層命令，如HTTP，MIME，PCAnywhere，Microsoft SQL server，以及其他一些應用的命令，并可以采取下一步措施——例如丟棄這個連結。
　　
　　舉一個簡單的例子，我們看看如何利用NBAR阻止紅色代碼攻擊。首先，定義一個此類攻擊的class-map，指明您想阻斷對哪種應用、那個文件的訪問：
　　
　　class-map match-any http-hacks
　　
　　match protocol http url "*cmd.exe*"
　　
　　match protocol http url "*root.exe*"
　　
　　接著，利用一個策略映射（policy map）標記具有這些特征的數據包：
　　
　　policy-map mark-inbound-http-hacks
　　
　　class http-hacks
　　
　　set ip dscp 1
　　
　　然后，在以太口（英特網接口）上應用該策略映射：
　　
　　interface Serial1/0
　　
　　service-policy input mark-inbound-http-hacks
　　
　　NBAR可以有效阻止各種散布在英特網中的蠕蟲入侵，這些蠕蟲有的是通過電子郵件傳播，有的是從Web網頁上下載下來的。NBAR僅是Cisco FW/IDS的一個特色；其他的功能我們可參考Cisco配置指南。
　　
　　應用IDS特色和其他選項
　　
　　入侵檢測系統（IDS）是網絡安全的另一重要領域。Cisco IDS能識別“攻擊特征”，我稱之為“攻擊模式”。以垃圾郵件為例，Cisco IDS能識別這些垃圾郵件的發源地并采取指定的處理措施。（或丟棄保文，或通知治理員，等等。）
　　以后我可能會寫一篇如何配置Cisco IDS的文章。由于IDS只是防火墻的一個可選部分，我還是有機會再介紹吧。不過，我建議您在配置Cisco IDS之前，仔細閱讀一下配置Cisco IOS入侵檢測系統。
　　
　　Cisco FW/IDS的另外兩個重要特色是基于上下文的訪問控制(CBAC)和TCP報文截取（TCP Intercept）。CBAC能識別數據報文的“上下文”環境，能根據上下文創建動態訪問控制列表。
　　
　　以FTP通信為例，假如您只答應向外的FTP訪問，那么您應該使用CBAC，而不是在訪問控制列表中完全開放相應端口。一般情況下，防火墻應該拒絕FTP數據回應報文訪問內部網，但CBAC能識別該FTP連結是從內部網絡中發起的，并自動打開相應端口，以便讓數據回應報文返回給內部網用戶。當這種通信沒有發生時，您的網絡就沒有“突破口”（開放的端口），黑客就不能進行攻擊，因此，這將使您的網絡更安全。
　　
　　TCP報文截取能防止您的網絡遭受拒絕服務攻擊（DoS）。在數據包到達目的主機（網絡中的服務器）之前，TCP報文截取能檢驗某個TCP包的源地址是否真實存在。假如源地址不存在，那么路由器能在該TCP包到達服務器之前丟棄它，并消耗其有效處理時間，這可以停止DoS攻擊的攻擊過程。
　　
　　總結
　　
　　我們可以看到，Cisco IOS FW/IDS提供了強大的功能。它可以在一臺設備上實現路由器和防火墻，對我的公司來說這是一種省錢的解決方案，對您的公司來說這可能也是一種省錢的方案。盡管本文只是介紹了構建Cisco IOS 防火墻的一些膚淺知識，但我想這對于您來說有可能是一個好的開始。下面是構建Cisco IOS 防火墻的部分相關網址。
　　
　　
　　有參考價值的Cisco IOS防火墻鏈接：
　　
　　Cisco IOS Upgrade Planner
　　Cisco IOS Software
　　Cisco IOS Security Configuration Guide, Release 12.2, Traffic Filtering and Firewalls Section
　　Cisco IOS Firewall Overview
　　Configuring Cisco IOS Firewall Intrusion Detection System
　　Configuring TCP Intercept (Preventing Denial-of-Service Attacks)
　　Configuring Context-Based Access Control
　　Access Control Lists: Overview and Guidelines
　　Cisco IOS Security Command Reference, Release 12.2, Traffic Filtering and Firewalls Section
　　TCP Intercept Commands
　　Context-Based Access Control Commands
　　Cisco IOS Firewall Intrusion Detection System Commands
　　Cisco - Security Technical Tips
　　Cisco - Configuring Network Based application Recognition (NBAR)
　　Cisco - Using Network-Based Application Recognition and Access Control Lists for Blocking the Code Red Worm
　　National Security Agency (NSA): Cisco Router Security Configuration Guide
　　National Security Agency (NSA): Cisco Router Security Configuration Guide EXECUTIVE SUMMARY
　　TechRepublic: “Cisco's hidden gem: The IOS firewall”
　　TechRepublic: “Get secure with Cisco extended IP access control lists”
　　CertCities: The NBAR Defense
　　
　　本文的相關連接請點這里>>>

上一篇：Cisco IOS HTTP %% 拒絕服務漏洞