3.防火墙配置
当用户用Cisco IOS配置任何IP防火墙时可参照下面给出的一些基本的配置指南。
(1).配置一个包含允许来自不受保护网络的某些ICMP数据流条目的访问控制列表。尽管一个拒绝所以不属于受CBAC所审查的连接一部分的IP数据流的访问控制列表看起来比较安全,但它对路由器的正确运行不太现实。路由器期望能够看到来自网络中其他路由器的ICMP数据流。ICMP数据流不能被CBAC所审查,所以应在防护控制列表中设置特定的条目以允许返回的ICMP数据流。如在受保护网络中的一个用户要用“Ping”命令来获取位于不受保护网络中的一台主机的状态,如果在访问控制列表中没有允许“echoreply”消息的条目,则在受保护网络中的这位用户就得不到其“Ping”命令的相应。下面所示的配置中含有允许关键ICMP消息的访问控制列表条目:
Router(config)#access -list 101 permit icmp any any echo-reply
Router(config)#access -list 101 permit icmp any any time-execeeded
Router(config)#access -list 101 permit icmp any any packet-too-big
Router(config)#access -list 101 permit icmp any any traceroute
Router(config)#access -list 101 permit icmp any any UnreaChable
(2).在访问控制列表中添加一个拒绝所有冒用受保护网络中地址的外来数据流的条目。这被称作防欺骗保护,因为它可以防止来自不受保护网络的数据流假冒保护网络中某个设备的身份。
(3).在访问控制列表增加一个拒绝源地址为广播地址(255.255.255.255)数据包的条目。该条目可以防止广播攻击。
(4).当对防火墙的访问特权设置口令时,最好是用“enablesecret”命令而不是“enablepassword”命令。因为“enableesecret”命令使用了一种更强的加密算法。
(5).在控制台端口上设置一个口令,至少应配置“login”和“password”命令。
(6).在以任何方法将控制台连接到网络上(包括在该端口上连接一个调制解调器)之前,应认真考虑访问控制事宜。要知道,在重启防火墙路由器时通过在控制台端口上“break”键就可以获得对它的完全控制权,即使配置了访问控制也无法阻止。
(7).对所有的虚拟终端端口应用访问控制列表和口令保护。用“access -class”命令指定的访问可以通过telnet登录到路由器上。
(8).不要启用用不到的任何本地服务(如SNMP或网络时间协议NTP)。Cisco发现吸引CDP(Cisco Discovery Protocol)和NTP的缺省是打开的,如果不使用的话就应该把它们关闭。
(9).任何被启用的服务都有可能带来潜在的安全风险。一个坚决的、有恶意的团体有可能会摸索出滥用所启用服务的方法来访问防火墙或网络。对于被启用的本地服务,,可以通过将它们配置为只与特定的对等体进行通信来防止被滥用,并通过在特定的接口上配置访问控制列表来拒绝对这些服务的访问数据包来保护自己。
(10).关闭低端口服务。对于IP可以输入“noservicetcp-small-servers”和“noserviceudp-small-servers”全局配置命令。在Cisco IOS版本12.0及后续版本中,这些服务缺省就是关闭的。
(11).通过在任何异步telnet端口上配置访问控制列表来防止防火墙被用作中继跳板。
(12).通常情况下,应该在防火墙和所有其他路由器上关闭对任何可应用协议的定向广播功能。对于IP协议,可使用no中“directed -broadcast”命令。在极少数情况下,有些IP网络确实需要定向广播功能,在这种情况下就不能关闭定向广播功能,定向广播可以被滥用来放大拒绝服务攻击的力量,因为每个Dos数据包都会被广播到同一子网的所有主机。另外,有些主机在处理广播时还存在有其他固有的安全风险。
(13).配置“noproxy -arp”命令来防止内部地址被暴露(如果没有配置NAT来防止内部地址被暴露的话,这么做是非常必要的)。
(14).将防火墙防在一个安全的区域内。三、配置接口的技巧
1.配置外部接口的技巧
如果在外部接口上有一个对外方向的IP访问控制列表,则该访问控制列表就可以是一个标准的或扩展的访问控制列表。该外出方向的访问控制列表应该允许想让CBAC检查的数据流通过。如果数据流不被允许,它就不能被CBAC检查,就会被简单地丢弃。
在外部接口上的入方向访问控制列表必须是一个扩展的访问控制类表。该入方访问控制列表应该拒绝想要让CBAC检查的数据流。CBAC将在该人方向控制列表中产生适当的临时通口,只允许返回数据进入,这些数据流属于一个有效的已存在会话的一部分。
2.配置内部接口的技巧
如果在内部接口上有一个入方向的IP访问控制列表,或在外部接口上有一个对外出方向的IP访问控制列表,则这些访问控制列表可以是标准的或者扩展的访问控制类表。这些访问控制类表应该允许想让CBAC审查的数据流通过。如果数据流不被允许,它就不能被CBAC审查,就会被简单地丢弃掉。
在内部接口上的外出方向的IP访问控制列表和在外部接口上的入方向的访问控制列表必须是扩展的访问控制列表。这些访问控制列表应该拒绝想要让CBAC审查的数据流通过CBAC将在这些访问控制列表中产生适当的临时通道,只允许那些属于一个有效的、已存在会话的一部分的返回数据流进入。不需要在内部接口的外出方向和外部接口的入口向上都配置一个扩展访问控制列表,但至少需要配置一个,以限制数据流通过防火墙流进内部受保护的网络。四、总结
只有连接的控制信道会被CBAC审查和监视,数据信道不会被审查。如在FTP会话中,控制信道(通常是TCP端口21)和数据信道(通常是TCP端口20)的状态变化都会被监视,但只有控制信道才会被审查。
CBAC审查识别控制信道中与应用具体相关的命令,并检测和防止某些应用层攻击,如SYN-flooding(SYN包风暴攻击)等。当网络攻击者想一台服务器发起了SYN包风暴攻击。大量的半开连接会淹没服务器,导致它拒绝正常的请求提供服务。无法访问网络设备的网络攻击被称为服务攻击(DoS)。
CBAC审查还在其它方面有助于防止拒绝服务攻击。CBAC检查TCP连接中的包序列号码是否在所期望的范围之内,并丢弃所有可疑的数据包。同时,也可以配置CBAC来丢弃半开连接,这需要占用防火墙的处理资源和内存资源来进行维护。另外,CBAC也可以检测不寻常的新连接建立速率,并发出告警消息。
