3.防火墙配置
当用户用Cisco IOS配置任何IP防火墙时可参照下面给出的一些基本的配置指南。
(1).配置一个包含允许来自不受保护网络的某些ICMP数据流条目的访问控制列表。尽管一个拒绝所以不属于受CBAC所审查的连接一部分的IP数据流的访问控制列表看起来比较安全,但它对路由器的正确运行不太现实。路由器期望能够看到来自网络中其他路由器的ICMP数据流。ICMP数据流不能被CBAC所审查,所以应在防护控制列表中设置特定的条目以允许返回的ICMP数据流。如在受保护网络中的一个用户要用“Ping”命令来获取位于不受保护网络中的一台主机的状态,如果在访问控制列表中没有允许“echoreply”消息的条目,则在受保护网络中的这位用户就得不到其“Ping”命令的相应。下面所示的配置中含有允许关键ICMP消息的访问控制列表条目:
Router(config)#access -list 101 permit icmp any any echo-reply
Router(config)#access -list 101 permit icmp any any time-execeeded
Router(config)#access -list 101 permit icmp any any packet-too-big
Router(config)#access -list 101 permit icmp any any traceroute
Router(config)#access -list 101 permit icmp any any UnreaChable
(2).在访问控制列表中添加一个拒绝所有冒用受保护网络中地址的外来数据流的条目。这被称作防欺骗保护,因为它可以防止来自不受保护网络的数据流假冒保护网络中某个设备的身份。
(3).在访问控制列表增加一个拒绝源地址为广播地址(255.255.255.255)数据包的条目。该条目可以防止广播攻击。
(4).当对防火墙的访问特权设置口令时,最好是用“enablesecret”命令而不是“enablepassword”命令。因为“enableesecret”命令使用了一种更强的加密算法。
(5).在控制台端口上设置一个口令,至少应配置“login”和“password”命令。
(6).在以任何方法将控制台连接到网络上(包括在该端口上连接一个调制解调器)之前,应认真考虑访问控制事宜。要知道,在重启防火墙路由器时通过在控制台端口上“break”键就可以获得对它的完全控制权,即使配置了访问控制也无法阻止。
(7).对所有的虚拟终端端口应用访问控制列表和口令保护。用“access -class”命令指定的访问可以通过telnet登录到路由器上。
(8).不要启用用不到的任何本地服务(如SNMP或网络时间协议NTP)。Cisco发现吸引CDP(Cisco Discovery Protocol)和NTP的缺省是打开的,如果不使用的话就应该把它们关闭。
(9).任何被启用的服务都有可能带来潜在的安全风险。一个坚决的、有恶意的团体有可能会摸索出滥用所启用服务的方法来访问防火墙或网络。对于被启用的本地服务,,可以通过将它们配置为只与特定的对等体进行通信来防止被滥用,并通过在特定的接口上配置访问控制列表来拒绝对这些服务的访问数据包来保护自己。
(10).关闭低端口服务。对于IP可以输入“noservicetcp-small-servers”和“noserviceudp-small-servers”全局配置命令。在Cisco IOS版本12.0及后续版本中,这些服务缺省就是关闭的。
(11).通过在任何异步telnet端口上配置访问控制列表来防止防火墙被用作中继跳板。
(12).通常情况下,应该在防火墙和所有其他路由器上关闭对任何可应用协议的定向广播功能。对于IP协议,可使用no中“directed -broadcast”命令。在极少数情况下,有些IP网络确实需要定向广播功能,在这种情况下就不能关闭定向广播功能,定向广播可以被滥用来放大拒绝服务攻击的力量,因为每个Dos数据包都会被广播到同一子网的所有主机。另外,有些主机在处理广播时还存在有其他固有的安全风险。
(13).配置“noproxy -arp”命令来防止内部地址被暴露(如果没有配置NAT来防止内部地址被暴露的话,这么做是非常必要的)。
(14).将防火墙防在一个安全的区域内。
上一页 [1] [2] [3] [4] 下一页
三、配置接口的技巧
1.配置外部接口的技巧
如果在外部接口上有一个对外方向的IP访问控制列表,则该访问控制列表就可以是一个标准的或扩展的访问控制列表。该外出方向的访问控制列表应该允许想让CBAC检查的数据流通过。如果数据流不被允许,它就不能被CB