首页 > 其他分享 >CCNA Security第四天.2

CCNA Security第四天.2

时间:2024-08-13 23:05:56浏览次数:7  
标签:group ip object tcp access CCNA 第四天 Security any

防火墙的三种类型

packet filtering(包过滤)

proxy server(代理服务器)

stateful packet filtering(状态监控包过滤)

packet filtering介绍

一个老的防火墙技术,也就是我们使用的访问控制列表acl.

cisco访问控制列表分类

1.standard(标准)

2.extended(扩展)

控制 源|目的|协议|端口|tos|时间...

3.name(命名)

便于配置与修改

4.reflexive/established

提供简单的防火墙功能

acl配置实例一(标准acl)

需求:

network a cannot reach network d

all other traffic is allowed

you can user an access-list with no more than three lines to accomplish this

配置实例

access-list 58 deny 172.16.1.0 0.0.0.255

access-list 58 permit any

inter f0/0

ip access-group 58 out

配置要点:

标准acl尽量接近目的;扩展访问acl尽量靠近源

acl配置实例二(管理控制)

需求:

only network d can telnet or user snmp to manage r1

you can use an acl with no more than three lines to accomplish this

you can apply this acl only on one router

配置实例:

access-list 56 ppermit 172.16.3.0 0.0.0.255

line vty 0 15

access-list 56 in

snmp-server community fwcommunity ro 56

acl配置实例三(扩展acl)

需求:

allow only http,https,and ftp traffic toserver on r2 from network 10.1.1.0/24 on r1

all other traffic from that subnet should be denied tothe server

traffice from any other soource to any other destination should to allowed

配置实例:

access-list 101 permit tcp 10.1.1.0 0.0.0.255 host 10.1.2.100 eq www

access-list 101 permit tcp 10.1.1.0 0.0.0.255 host 10.1.2.100 eq 443

access-list 101 permit tcp 10.1.1.0 0.0.0.255 host 10.1.2.100 eq ftp

access-list 101 deny ip 10.1.1.0 0.0.0.255 host 10.1.2.100

access-list 101 permit ip any any

int f0/0

access-group 101 in

acl配置实例四(互联网防护)

 

需求:

allow tcp-based internet responses for all networks

allow incoming smtp traffic to the public ip address 202.100.1.102

prevent ip spoofing attacks by dennying rfc 1918 address from internet

use a named acl which can only be assigned to one interface in one direction

配置实例:

ip access-list extended forccna

permit tcp any any established(所有相应的包都匹配,ack rst,源自于互联网的相应)。

permit tcp any host 202.100.1.101 eq 25

permit tcp any host 202.100.1.102 eq 80 443

5 deny ip 10.0.0.0 0.0.0.255 any

6 deny ip 172.16.0.0 0.15.255.255 any

7 deny ip 192.168.0 0.0.255.255 any

重新排列序列号

ip access-list resequence forccna 10 10(从10开始间隔10)

重置计数器:

clear access-list counters forccna

log数据包:

access-list 101 deny ip any host 1.1.1.1 log/log-input

时间访问控制列表

time-range time

periodic weekday 09:00 to 18:00

access-list 102 permit tcp any any eq 80 time-range time

remark标记ack条目

ip access-list ex test

remark permit traffic for bjsec webserver

permit tcp any host 1.1.1.1 eq www

object-group 1

network类型object-group:

object-group network net1

host 1.1.1.1

2.2.2.0 255.255.255.0

range 3.3.3.100 3.3.3.200

object-group network net2

host 4.4.4.4

5.5.5.0 255.255.255.0

range 6.6.6.100 6.6.6.200

object-group network net.s

group-object net1

group-object net2

在acl里调用network类型object-group:

ip access-list extended net1

permit ip object-group net1 any

ip access-list extended net1 to net2

permit ip object-group net1 object-group net2

ip access-list extended net.s

permit ip object-group net.s any

service类型object-group:

object-group service ser1

gre

tcp eq telnet

icmp echo

object-group service ser2

esp

tcp eq www

icmp echo-reply

object-group service ser.s

group-object ser1

group-object ser2

在acl里调用service类型object-group

ip access-list extended ser1

permit object-group ser1 any any

ip access-list extended ser.s

permit object-group ser.s any any

acl里object-group的混合调用

ip access-list extended all

permit object-group ser.s object-group

net1 object-group net2

传统accl的缺陷

1.block based on address/port

2.ports permanently open

3.does not work with dynamic applications

proxy servers介绍

软件防火墙的主流技术,经常为web流量使用代理服务器。

proxy servers特点

两个tcp会话。

性能低下。

支持的运用较少。

工作在osi模型的高层,最安全的防火墙

stateful packet filtering介绍

硬件防火墙主流技术,为穿越tcp和udp流维护状态化表项。

stateful packet filtering特点

为每一个tcp和udp流维护stateful session flow table(状态化表项)

返回数据包首选产寻状态化表项,如果是以前连接的一部分,就算被acl拒绝也可能穿越防火墙。

状态化表项维护:tcp源目端口,源目ip,序列号,flag位。

高性能,硬件防火墙主流技术。

cisco两大ios防火墙技术

cisco ios classic firewall(又名cbac)

cisco ios zone-based firewall

cisco ios classic firewall overview

traffic filtering流量过滤

traffic inspection流量监控

alerts and audit trails警告和审计

cisco ios classic firewall工作示意图

ios fw:

ip access-list extended outside.control

deny ip any any(禁用所有internet的流量进入内网)

int f1/0

ip access-group outside        .control in

ip insect name cbac telnet (对telnet流量进行监控)

int f1/0

ip inspect cbac out

ip inspect name cbac icmp

cisco ios classic firewall配置步骤

step1:选择内外接口

step2:配置ip acl

step3:配置全局参数

step4:配置监控策略

step5:运用监控策略和acl到接口

配置ip acl

1.(可选)放行内部合法流量访问外部非信任网络。

a.outbound方向

b.可以配置在内部接口in方向,也可以配置在外部接口out方向(建议后者)

c.注意:先检查acl后检查监控策略,如果acl没有放行,也就没有必要监控。

2.(必须)阻止源至于非信任网络的流量

a.至少要deny返回流量。

b.建议deny ip any any.

c.应该放行非信任网络访问内部互联网服务器的流量。

d.建议在外部接口in方向运用。

配置全局参数

1.告警与审计

ip inspect alert-off

ip inspect audit-trail

2.全局dos相关参数

ip inspect max-incomplete high 1000(最大半开连接high为1000,超过进入aggressive mode)

ip inspect max-incomplete low 800(最大半开连接low为800,低于从aggressive恢复正常)

ip inspect one-minute high 1000(每分钟半开连接high为1000)

ip inspect one-minute low 800(每分钟半开连接low为800)

ip inspect udp idle-time 10(udp闲置时间,超时后非防火墙丢弃会话信息)

ip inspect dns-timeout 3(dns超时时间,超时后防火墙丢弃会话信息)

ip inspect tcp idle-time 360(tcp闲置时间,超时后防火墙丢弃会话信息)

ip inspect tcp finwait-time 1(发现fin交换后,1秒内防火墙丢弃会话信息)

ip inspect tcp synwait-time 15(三次握手等待时间为15秒,超时后防火墙丢弃会话信息)

全局策略

ip inspect name cbac tcp

ip inspect name cbac udp

监控了tcp和udp,单一信道的tcp和udp协议就能够正常工作,额例如:telnet,smtp,dns等等。

2.特殊运用层协议监控

ip inspect name cbac smtp

ip inspect name cbac ftp

1.如果只希望单一信道的普通tcp/udp协议能够穿越防火墙,而不希望对协议进行限制和过滤,只需要监控tcp/udp足以。

2.监控特殊运用层协议的前提如下:

a.保障协议正常工作(例如:ftp,h.323等等)

b.协议安全防护与过滤(例如:smtp,http,im等等)

3.特殊协议监控策略所配置alert,audit-trail,timeout优于全局设置

调用:

int f1/0

ip access-group outside.control in

ip inspect cbac out

建议监控策略和acl运用到外部接口

配置实例:

cisco ios zoned-based policy fw

1.release in ios 12.4(6)t

2.策略运用到zone间特定流量,而不是接口

3.策略使用cisco policy language配置。

4.默认策略deny所有zone间流量。

5.可以配置基于特定主机和子网的策略。

6.提供更加强大deep packet inspection(dpi)功能。

7.相对于classic firewall提供了更好的性能。

zone特性介绍1

一个zone是一系列接口的集合

zene特性介绍2

如果两个接口不属于zone,它们间的流量不受任何影响

zone特性介绍3

如果一个接口属于zone,另一个接口不属于zone,那么它们之间是不可能通讯的。

zone特性介绍4

如果两个接口属于两个不同zone,可以通过配置policy来允许流量,默认所有流量都被丢弃。

zone特性介绍5

在相同security zone内部接口的流量可以自由的流转,不需要任何策略

标签:group,ip,object,tcp,access,CCNA,第四天,Security,any
From: https://www.cnblogs.com/smoke520/p/18357899

相关文章

  • CCNA Security第四天.3
    配置zone-basedpolicy防火墙步骤1.确定游泳相同安全功能的接口,并且把他们放入相同的securityzones内2.决定在znne间双向需要穿越流量3.配置zones4.配置zonepairs,如果某一个方向没有任何流量需要放行就不用配置了5.定义classmaps匹配zones间流量6.配置policymaps关联cl......
  • 11.第四天(第二部分):Maintaining the Sensor
    sensorimagetypesapplicationimage:实际使用的imagesystemimage:恢复所有的image包括a和rrecoveryimage:用于恢复a的image升级upgradecommandsensor(config)#upgradesource-urlsensor(config)#upgradeftp://[email protected]/ips-k9-6.0-e1.pkgsensor(confi......
  • 10.第四天(第一部分):Configuring Blocking
    configblocknac:blocking应用程序devicemanagement:sensor管理其他设备的能力blockingdevice:被管理的设备blcokingsensor:发起管理的ipsmanagedinterfaceorvlan:管理的接口,在那个接口管理activealcorvacl:vlanacl1.有一个能够通讯的ip2.允许telnet和ssh3.有......
  • SpringSecurity+前端项目+redis完成认证授权的代码
    1.前端准备工作--都在全局main.js页面中设置的1.1.创建Vue工程后,并导入elementui和axios,添加连接后端项目的路径,把axios挂载到Vue1.2.前置路由守卫(所有路由跳转前核实一下身份)//前置路由守卫--所有的路由跳转都先经过这里//to:即将要访问的路径from:从哪里来......
  • 4.5.Switch Security
    switchsecurity(交换安全)maclayerattacks(mac地址攻击)mac地址泛红变换mac让交换机不停学习,占满mac地址表,其他pc发送报文就进行泛红。portsecurity(端口安全)1未授权mac地址2mac地址个数限制(默认1个)3采取措施switch(config-if)#switchportport-security[maximumvalue]......
  • 第四天2_config_context_firwore
    多模防火墙思想源至65fw模块系统全局配置(没有网络相关配置)1.创建虚拟防火墙2.为每一个虚拟防火墙关联接口admincontext....othercontext1.系统网管目的2.可以切换到其他contest,也能切换到全局配置3.其他context之间不能相互切换每个虚拟防火墙都有独立的配置1.spid......
  • 第五天2cisco_security_device_manger_appliance_
    asdm视窗化管理把asdm加载进asa的flash必须支持des或3desie浏览器支持java。不能阻止弹出窗口。配置向导设置Pre-configureFirewallnowthroughinteractiveprompts[yes]?(预配置防火墙现在通过交互式提示符)FirewallMode[Routed]:Enablepassword[<usecurrent......
  • Hadoop学习第四天--MapReduce提交过程
    MapReduce提交过程在Xshell中输入bash-X命令可以在Bashshell中启用debug模式,显示执行过程中的详细信息,例如每条命令的执行结果以及执行的步骤。Hadoop提交执行开始使用Java命令执行javaorg.apache.hadoop.util.RunJarhadoop-1.0-SNAPSHOT.jarcom.shujia.mr.worcou......
  • 大数据框架之一——Hadoop学习第四天
    1、MapReduce序列化(接着昨天的知识继续学习)序列化(Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。当两个进程在进行远程通信时,彼......
  • HTML5+CSS3笔记(Xmind格式):第四天
    Xmind鸟瞰图:简单文字总结:HTML5+CSS3知识总结:媒体查询:  1.媒体查询格式:@media设备类型and设备特性  2.screen:设置屏幕  3.max-width(最大宽度),min-width(最小宽度)  4.可以通过媒体查询引入不同的css样式移动端布局方式:  1.静态布局  2.......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99