网络安全--边界安全

现在人们生活依赖互联网程度越来越高,网络安全也逐步进入人们日常视野,信用卡信息泄漏、开房记录被查询、商业机密泄漏等等;无不牵动着一个人、一个公司、甚至一个国家的神经。随着技术的发展,网络边界变得也越来越复杂,比如web应用、无线接入、DCI、×××等技术的应用,导致网络边界变的好像很庞杂,无从下手;但是无论是对边界进行分层加固,还是加强对各个网络入口的安全审计,亦或是对使用人员进行安全培训;都必须对各自网络心中有数。网络边界设备一般是路由器、交换机或者防火墙。

边界安全---ACL

路由器或者交换机作为边界时,基本上都配置了访问控制列表ACL,像银行等有些地方ACL的数量可能非常庞大,达到了几千条甚至更多,边界使用较多的设备一般为:Nexus7K、cisco7600、Cisco6500、huawei 9300、huwei CloudEngine等,下面将以cisco为例介绍边界重要的安全措施ACL。

ACL应用情形:

1、 控制邻居设备间的路由信息。

2、 控制穿越设备的流量网络访问。

3、 控制console、VTY访问。

4、 定义IPsec ×××等的感兴趣流。

5、 实施QoS等其他特性。

ACl配置

1、 创建一个ACL

2、 将ACL应用到一个接口中。

ACl类型

1、 标准ACL。编号1~99,只能过滤源IP数据包。

2、 扩展ACL。编号100~199,可以基于源IP、目的IP、协议、端口、flag等进行流量过滤。

3、 命名ACL。可以应用在标准和扩展ACL上,用名字代替数字,方便配置管理,使用较多。

4、 分类ACL。一般用于DoS等安全鉴别。

5、 其他很少用的ACL类型。动态ACL、自反ACL、time ACL、调试ACL等。

ACL实施准则

1、 ACL可以在多个接口同时使用(复用)。

2、 同一接口只能对同一协议使用一个ACL,例如一个出站ACL、一个入站ACL。针对不同协议,一个接口上可以应用多与两个ACL。

3、 ACL匹配顺序处理,精确的放在前面。

4、 始终要遵循先创建ACL,然后在应用到接口上;修改时就要先移除acl,修改完成后,在应用到接口。

5、 应用到路由器的出站ACL只检查通过路由器的流量,就是说不会检查自身产生的流量。

6、 对于标准ACL,应该应用在流量传输离目的地最近的位置,对于扩展ACL应用在离源最近的位置。

ACL应用举例

1、 假如一个数据中心的边界是一台交换机,内部仅提供Web,DNS应用,为安全考虑实施ACL控制。

Ipaccess test-sample

Deny ip 10.0.0.0/8 any ------拒绝RFC1918地址

Deny ip 172.16.0.0/21 any

Deny ip 192.168.0.0/16 any

Permit tcp any 1.1.1.2/32 eq www -------开放web tcp的80端口

Permit udp any 1.1.1.3/32 eq 53 --------开放DNS udp 的53端口

然后把该acl应用到连接出口的in方向即可。

2、 假如该数据中心服务器正在遭受攻击,由于没有其他防护检测设备,使用acl进行排查。

access-list 169 permit icmp any any echo

access-list 169 permit icmp any anyecho-reply

access-list 169 permit udp any any eq echo

access-list 169 permit udp any eq echo any

access-list 169 permit tcp any anyestablished

access-list 169 permit tcp any any

access-list 169 permit ip any any

然后把接口应用到出口的in方向,然后通过showip access-list查看匹配数目,最后在匹配数据较大的acl条目上使用log-input,接下来看日志就可以发现攻击源IP了。(在Nexus交换机上需要添加statistics per-entry才可以进行acl匹配计数)。

相关推荐
安全系统学习4 分钟前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
加密狗复制模拟2 小时前
坚石ET ARM加密狗复制模拟介绍
安全·软件工程·个人开发
galaxylove2 小时前
Gartner发布塑造安全运营未来的关键 AI 自动化趋势
人工智能·安全·自动化
scuter_yu3 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司3 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
ChicagoTypewriter4 小时前
计算机网络中的常用表项梳理
网络·计算机网络·智能路由器
小能喵5 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux
liulilittle7 小时前
深度剖析:OPENPPP2 libtcpip 实现原理与架构设计
开发语言·网络·c++·tcp/ip·智能路由器·tcp·通信
浩浩测试一下10 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Fortinet_CHINA13 小时前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全