網(wǎng)絡(luò)安全--邊界安全（1）

成都創(chuàng)新互聯(lián)公司是由多位在大型網(wǎng)絡(luò)公司、廣告設(shè)計(jì)公司的優(yōu)秀設(shè)計(jì)人員和策劃人員組成的一個(gè)具有豐富經(jīng)驗(yàn)的團(tuán)隊(duì)，其中包括網(wǎng)站策劃、網(wǎng)頁(yè)美工、網(wǎng)站程序員、網(wǎng)頁(yè)設(shè)計(jì)師、平面廣告設(shè)計(jì)師、網(wǎng)絡(luò)營(yíng)銷(xiāo)人員及形象策劃。承接：成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、網(wǎng)站改版、網(wǎng)頁(yè)設(shè)計(jì)制作、網(wǎng)站建設(shè)與維護(hù)、網(wǎng)絡(luò)推廣、數(shù)據(jù)庫(kù)開(kāi)發(fā),以高性?xún)r(jià)比制作企業(yè)網(wǎng)站、行業(yè)門(mén)戶(hù)平臺(tái)等全方位的服務(wù)。

現(xiàn)在人們生活依賴(lài)互聯(lián)網(wǎng)程度越來(lái)越高，網(wǎng)絡(luò)安全也逐步進(jìn)入人們?nèi)粘Ｒ曇?，信用卡信息泄漏、開(kāi)房記錄被查詢(xún)、商業(yè)機(jī)密泄漏等等；無(wú)不牽動(dòng)著一個(gè)人、一個(gè)公司、甚至一個(gè)國(guó)家的神經(jīng)。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)邊界變得也越來(lái)越復(fù)雜，比如web應(yīng)用、無(wú)線接入、DCI、×××等技術(shù)的應(yīng)用，導(dǎo)致網(wǎng)絡(luò)邊界變的好像很龐雜，無(wú)從下手；但是無(wú)論是對(duì)邊界進(jìn)行分層加固，還是加強(qiáng)對(duì)各個(gè)網(wǎng)絡(luò)入口的安全審計(jì)，亦或是對(duì)使用人員進(jìn)行安全培訓(xùn)；都必須對(duì)各自網(wǎng)絡(luò)心中有數(shù)。網(wǎng)絡(luò)邊界設(shè)備一般是路由器、交換機(jī)或者防火墻。

邊界安全—ACL

  路由器或者交換機(jī)作為邊界時(shí)，基本上都配置了訪問(wèn)控制列表ACL，像銀行等有些地方ACL的數(shù)量可能非常龐大，達(dá)到了幾千條甚至更多，邊界使用較多的設(shè)備一般為：Nexus7K、cisco7600、Cisco6500、huawei 9300、huwei CloudEngine等，下面將以cisco為例介紹邊界重要的安全措施ACL。

ACL應(yīng)用情形：

1、 控制鄰居設(shè)備間的路由信息。

2、 控制穿越設(shè)備的流量網(wǎng)絡(luò)訪問(wèn)。

3、 控制console、VTY訪問(wèn)。

4、 定義IPsec ×××等的感興趣流。

5、 實(shí)施QoS等其他特性。

ACl配置

1、 創(chuàng)建一個(gè)ACL

2、 將ACL應(yīng)用到一個(gè)接口中。

ACl類(lèi)型

1、 標(biāo)準(zhǔn)ACL。編號(hào)1~99，只能過(guò)濾源IP數(shù)據(jù)包。

2、 擴(kuò)展ACL。編號(hào)100~199，可以基于源IP、目的IP、協(xié)議、端口、flag等進(jìn)行流量過(guò)濾。

3、 命名ACL。可以應(yīng)用在標(biāo)準(zhǔn)和擴(kuò)展ACL上，用名字代替數(shù)字，方便配置管理，使用較多。

4、 分類(lèi)ACL。一般用于DoS等安全鑒別。

5、 其他很少用的ACL類(lèi)型。動(dòng)態(tài)ACL、自反ACL、time ACL、調(diào)試ACL等。

ACL實(shí)施準(zhǔn)則

1、 ACL可以在多個(gè)接口同時(shí)使用(復(fù)用)。

2、 同一接口只能對(duì)同一協(xié)議使用一個(gè)ACL，例如一個(gè)出站ACL、一個(gè)入站ACL。針對(duì)不同協(xié)議，一個(gè)接口上可以應(yīng)用多與兩個(gè)ACL。

3、 ACL匹配順序處理，精確的放在前面。

4、 始終要遵循先創(chuàng)建ACL，然后在應(yīng)用到接口上；修改時(shí)就要先移除acl，修改完成后，在應(yīng)用到接口。

5、 應(yīng)用到路由器的出站ACL只檢查通過(guò)路由器的流量，就是說(shuō)不會(huì)檢查自身產(chǎn)生的流量。

6、 對(duì)于標(biāo)準(zhǔn)ACL，應(yīng)該應(yīng)用在流量傳輸離目的地最近的位置，對(duì)于擴(kuò)展ACL應(yīng)用在離源最近的位置。

ACL應(yīng)用舉例

 

1、 假如一個(gè)數(shù)據(jù)中心的邊界是一臺(tái)交換機(jī)，內(nèi)部?jī)H提供Web，DNS應(yīng)用，為安全考慮實(shí)施ACL控制。

Ipaccess test-sample

Deny ip 10.0.0.0/8 any     ------拒絕RFC1918地址

Deny ip 172.16.0.0/21 any

Deny ip 192.168.0.0/16 any

Permit tcp any 1.1.1.2/32 eq www -------開(kāi)放web tcp的80端口

Permit udp any 1.1.1.3/32 eq 53    --------開(kāi)放DNS udp 的53端口

然后把該acl應(yīng)用到連接出口的in方向即可。

2、 假如該數(shù)據(jù)中心服務(wù)器正在遭受***，由于沒(méi)有其他防護(hù)檢測(cè)設(shè)備，使用acl進(jìn)行排查。

access-list 169 permit icmp any any echo

access-list 169 permit icmp any anyecho-reply

access-list 169 permit udp any any eq echo

access-list 169 permit udp any eq echo any

access-list 169 permit tcp any anyestablished

access-list 169 permit tcp any any

access-list 169 permit ip any any

然后把接口應(yīng)用到出口的in方向，然后通過(guò)showip access-list查看匹配數(shù)目，最后在匹配數(shù)據(jù)較大的acl條目上使用log-input，接下來(lái)看日志就可以發(fā)現(xiàn)***源IP了。(在Nexus交換機(jī)上需要添加statistics per-entry才可以進(jìn)行acl匹配計(jì)數(shù))。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

分享文章：網(wǎng)絡(luò)安全--邊界安全(1)-創(chuàng)新互聯(lián)
轉(zhuǎn)載源于：http://aaarwkj.com/article12/godgc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)公司、關(guān)鍵詞優(yōu)化、Google、網(wǎng)站改版、品牌網(wǎng)站制作、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)