论文部分内容阅读
摘要:文章主要介绍了经典的思科IOS防火墙概念及基本策略的详细实施,然后结合实例介绍经典的思科IOS的防火墙在路由器上进行设计策略来保护企业内部网络的安全,实现整个网络的安全。
关键词:防火墙技术,CBAC,IOS
1 网络需求分析
在互联网环境中,网络计算机所遇到的危险越来越多,网络安全问题成为大家探讨的焦点。公司企业为了业务的发展,外部网络资源的访问成为趋势,同时还必须保证部内网络数据和资源的安全。从而很多网络安全技术应运而生,比如通过ACL访问控制列表的方式可以对一些数据进行过滤,是保证基本的网络安全的手段之一,但是在一些情况下,访问列表过滤(Access-list)的设计宗旨只是在于保护一个路由器Router的出去接口或者进去接口。对于目前先进的技术,攻击者的技术也是炉火纯青,所以网络的安全性必须加强保护,需要网络做到能防御任何相关的攻击,其中在很多技术中应用比较广泛的是思科的IOS防火墙技术。防火墙技术用到的技术要点是设置规则,规則指的是某些标准和规定,在标准中包含了信息数据是否能进出计算机或路由器的一些规定。对防火墙所设立的数据包过滤的规则实现了安全策略所指定的安全方法[2]。限制性的方法将在默认阻断所有访问的一组规则中得以实现,然后限制特定类型的通信量通过。
2 CBAC的概述
经典的IOS防火墙依靠基于上下文的访问列表(Context-Base Access Control,CBAC)。CBAC是在内置的防火墙功能特性 [1]。经过接口的流量必须接受安全策略的保护,实现流量穿越路由器时的访问列表过滤。CBAC主要实现的也是对接口的信息流量进行一定的保护,在实现的命令中包含具体的源目的地址以及协议和协议号几种规则,它的实现原理与自反ACL大同小径。CBAC规定只允许出去流经防火墙的流量。 当内部网络有数据流量需要出去时,CBAC会在防火墙上临时允许高层Session信息的数据包过滤,但是一般阻止来源于外部网络的数据流量向内部网络进入,从而让内部网络的安全性得到保证。
CBAC过滤功能与动态检测是非常强大的[3],但是它有很多不足之处:
1、假设在接口上同时配置了访问列表(Access-list)和CBAC过滤规则,那么Access-list的优先级比CBAC的高,首先检查Access-list再检查CBAC。不足之处是如果定义了一个拒绝某种特定的流量的Access-list,那么CBAC过滤就是空洞的,CBAC还没有检查流量就已经被阻断了。
2、自反Access-list和CBAC都存在一个缺陷:对于内部网络的攻击显得无能为力,它们没有设置阻止内容攻击的规则。
3、CBAC只管自己的检测规则的定义,很难和Access-list设置的规则规定合作。
4、对于需要检测的不是关于TCP或UDP数据包产生的流量的话,配置一个有关命名的规则策略是必然的。
5、 CBAC的检测规则主要是在对应的某些接口上实施调用,那么缺点是对于不同类型的用户组对象没有办法做到使用用不相同的过滤规则。
6、CBAC对于流经防火墙或者路由器的有些加密流量没有办法应对。
3 CBAC的应用分析
采用一个很简单的拓扑结构图来分析CBAC,比如一个路由器其中有一个连接内网的接口f0/0,一个连接外网的接口s1/0。那么CBAC调用的默认接口是外网接口。在路由器上定义了一个检测规则,命名为CBAC_rule,规则中规定允许通过ICMP、TCP、UDP流量,而且特别规定了TCP的会话超时时间是60秒,ICMP会话的超时时间是40秒。同时定义个Access-list,name为list1,规则包含拒绝CBAC检测的流量。
配置步骤和具体实现命令如下:
1.先选择一个接口默认是outside接口s1/0;
2.ip inspect的定义,ip inspect name protocol定义配置各种特定规则的超时时间。
ip inspect name CBAC_rule tcp timeout 60,ip inspect name CBAC_rule icmp timeout 40
3. Access-list的定义
ip access-list extended List1 ,deny tcp any any, deny icmp any any
4.CBAC的检测规则在对对应接口上的调用。
ip inspect CBAC_rule out
5.将前面定义的list1在s1/0接口上调用,但是与CBAC流量的方向相反。
ip access-group list1 in
4 结束语
在现在企业综合网络应用中,企业内部主机或数据的安全显得非常重要,为了确保这样的安全性,经常在边界路由器或者防火墙安全设备上设置安全策略,通过边界的安全策略来保证内部网络的安全性。本篇中主要介绍的技术是防火墙技术,主要是基于经典的思科IOS的防火墙的概述和综合设计,通过最终的测试,可以实现企业内部对外部非信任网络的正常上网需求,同时保证了企业内部数据和资源的安全性。
参考文献:
[1] 迟恩宇.网络安全与防护[M].高等教育出版社,2014.7
[2] 郑正中. 防火墙技术在计算机网络安全中的应用分析[J]. 信息与电脑, 2018,(3)
[3] 包丽丽. 关于计算机网络防火墙的安全设计与应用分析[J]. 科技与创新, 2016,(13)
作者简介:
陈园园(1985-),女,江西南昌,讲师,江西现代职业技术学院教师,硕士,主要研究方向:计算机应用、网络。
帅志军(1977-),男,江西南昌,副教授,江西现代职业技术学院教师,硕士,主要研究方向:计算机网络、硬件。
关键词:防火墙技术,CBAC,IOS
1 网络需求分析
在互联网环境中,网络计算机所遇到的危险越来越多,网络安全问题成为大家探讨的焦点。公司企业为了业务的发展,外部网络资源的访问成为趋势,同时还必须保证部内网络数据和资源的安全。从而很多网络安全技术应运而生,比如通过ACL访问控制列表的方式可以对一些数据进行过滤,是保证基本的网络安全的手段之一,但是在一些情况下,访问列表过滤(Access-list)的设计宗旨只是在于保护一个路由器Router的出去接口或者进去接口。对于目前先进的技术,攻击者的技术也是炉火纯青,所以网络的安全性必须加强保护,需要网络做到能防御任何相关的攻击,其中在很多技术中应用比较广泛的是思科的IOS防火墙技术。防火墙技术用到的技术要点是设置规则,规則指的是某些标准和规定,在标准中包含了信息数据是否能进出计算机或路由器的一些规定。对防火墙所设立的数据包过滤的规则实现了安全策略所指定的安全方法[2]。限制性的方法将在默认阻断所有访问的一组规则中得以实现,然后限制特定类型的通信量通过。
2 CBAC的概述
经典的IOS防火墙依靠基于上下文的访问列表(Context-Base Access Control,CBAC)。CBAC是在内置的防火墙功能特性 [1]。经过接口的流量必须接受安全策略的保护,实现流量穿越路由器时的访问列表过滤。CBAC主要实现的也是对接口的信息流量进行一定的保护,在实现的命令中包含具体的源目的地址以及协议和协议号几种规则,它的实现原理与自反ACL大同小径。CBAC规定只允许出去流经防火墙的流量。 当内部网络有数据流量需要出去时,CBAC会在防火墙上临时允许高层Session信息的数据包过滤,但是一般阻止来源于外部网络的数据流量向内部网络进入,从而让内部网络的安全性得到保证。
CBAC过滤功能与动态检测是非常强大的[3],但是它有很多不足之处:
1、假设在接口上同时配置了访问列表(Access-list)和CBAC过滤规则,那么Access-list的优先级比CBAC的高,首先检查Access-list再检查CBAC。不足之处是如果定义了一个拒绝某种特定的流量的Access-list,那么CBAC过滤就是空洞的,CBAC还没有检查流量就已经被阻断了。
2、自反Access-list和CBAC都存在一个缺陷:对于内部网络的攻击显得无能为力,它们没有设置阻止内容攻击的规则。
3、CBAC只管自己的检测规则的定义,很难和Access-list设置的规则规定合作。
4、对于需要检测的不是关于TCP或UDP数据包产生的流量的话,配置一个有关命名的规则策略是必然的。
5、 CBAC的检测规则主要是在对应的某些接口上实施调用,那么缺点是对于不同类型的用户组对象没有办法做到使用用不相同的过滤规则。
6、CBAC对于流经防火墙或者路由器的有些加密流量没有办法应对。
3 CBAC的应用分析
采用一个很简单的拓扑结构图来分析CBAC,比如一个路由器其中有一个连接内网的接口f0/0,一个连接外网的接口s1/0。那么CBAC调用的默认接口是外网接口。在路由器上定义了一个检测规则,命名为CBAC_rule,规则中规定允许通过ICMP、TCP、UDP流量,而且特别规定了TCP的会话超时时间是60秒,ICMP会话的超时时间是40秒。同时定义个Access-list,name为list1,规则包含拒绝CBAC检测的流量。
配置步骤和具体实现命令如下:
1.先选择一个接口默认是outside接口s1/0;
2.ip inspect的定义,ip inspect name protocol定义配置各种特定规则的超时时间。
ip inspect name CBAC_rule tcp timeout 60,ip inspect name CBAC_rule icmp timeout 40
3. Access-list的定义
ip access-list extended List1 ,deny tcp any any, deny icmp any any
4.CBAC的检测规则在对对应接口上的调用。
ip inspect CBAC_rule out
5.将前面定义的list1在s1/0接口上调用,但是与CBAC流量的方向相反。
ip access-group list1 in
4 结束语
在现在企业综合网络应用中,企业内部主机或数据的安全显得非常重要,为了确保这样的安全性,经常在边界路由器或者防火墙安全设备上设置安全策略,通过边界的安全策略来保证内部网络的安全性。本篇中主要介绍的技术是防火墙技术,主要是基于经典的思科IOS的防火墙的概述和综合设计,通过最终的测试,可以实现企业内部对外部非信任网络的正常上网需求,同时保证了企业内部数据和资源的安全性。
参考文献:
[1] 迟恩宇.网络安全与防护[M].高等教育出版社,2014.7
[2] 郑正中. 防火墙技术在计算机网络安全中的应用分析[J]. 信息与电脑, 2018,(3)
[3] 包丽丽. 关于计算机网络防火墙的安全设计与应用分析[J]. 科技与创新, 2016,(13)
作者简介:
陈园园(1985-),女,江西南昌,讲师,江西现代职业技术学院教师,硕士,主要研究方向:计算机应用、网络。
帅志军(1977-),男,江西南昌,副教授,江西现代职业技术学院教师,硕士,主要研究方向:计算机网络、硬件。