现在的位置: 首页 > 网络 > 正文

Cisco基于上下文访问控制的网络安全技术

2012年10月30日 网络 ⁄ 共 3960字 ⁄ 字号 暂无评论

一、Cisco IOS安全技术

---- Cisco IOS防火墙特性集作为Cisco IOS软件的一个选项,提供了一个先进的安全解决方案,这种集成化路由器安全解决方案是Cisco Systems安全解决方案系统中的一个部件。

---- Cisco IOS安全服务包括一系列特性,能使管理人员将一台Cisco路由器配置成为一个防火墙,而Cisco IOS防火墙特性集则可以为现有的Cisco IOS安全解决方案增加更大的深度和灵活性。表1为Cisco IOS防火墙特性集相关新特性的概述。

二、基于上下文的访问控制

---- 基于上下文的访问控制(CBAC)是Cisco IOS防火墙特性集最显著的新增特性。CBAC技术的重要性在于: 使管理员能够将防火墙配置为一个智能化、集成化的单框解决方案的一部分。CBAC通过严格审查源和目的地址,增强了使用众所周知端口的TCP和UDP应用 程序的安全。

---- 1.CBAC工作原理
---- CBAC是一个适用于IP通信的、基于每一个应用的控制机制,包括标准TCP和UDP Internet应用程序、多媒体应用程序(包括H.323应用程序、CU-SeeME、VDOLive、Streamworks及其他应用程序)以及 Oracle数据库。CBAC检查TCP和UDP包,并跟踪它们的“状态”或连接状态。

---- TCP是一个面向连接的协议。在传输数据之前,源主机与一个目的主机洽谈连接,通常被称为“三向握手”。这种握手过程确保有效的TCP连接和无错的传输。 在连接建立期间,TCP穿过几个“状态”或阶段(由数据包头标识的)。标准和扩展的访问控制列表(ACL)从包头状态来决定是否允许通信通过一个连接。

---- CBAC通过检查整个(数据)包了解应用程序状态信息,给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、会话(Session)特定的 ACL入口,从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个会话结束时,ACL入口被删除,大门关闭。标准和扩 展的ACL不能创建暂时的ACL入口,因此直至目前,管理员一直被迫针对信息访问要求衡量安全风险。

---- CBAC比目前的ACL解决方案更加安全,因为它根据应用类型决定是否允许一个会话通过防火墙,并决定是否为回返通信流量选择某一通道。在CBAC之前, 管理员仅通过编写基本上使防火墙大门洞开的永久性ACL,就能够许可先进的应用通信,因此大多数管理员选择否决所有这类应用通信。现在,有了CBAC,在 需要时通过打开防火墙大门和其他时候关闭大门,安全地许可多媒体和其他应用通信。例如,如果CBAC被配置成允许Microsoft NetMeeting,那么当一个内部用户初始化一次连接时,防火墙允许回返通信。但是,如果一个外部NetMeeting来源于一个内部用户初始化连接 时,CBAC将否决进入,并撤消数据包。

---- 2.CBAC使用的加强机制
---- 数据包检查监视数据包控制通道,识别控制通道中的应用专用指令,检测和预防应用级攻击。

---- 通过检查,包将被转发,而CBAC创建一个状态表来维护会话状态信息。如果状态表存在,表明(数据)包属于一个有效会话,回返通信流量将仅被许可通过集成化的防火墙。这种可配置的特性负责监视定义的会话。

---- 当会话结束时,状态表被删除。在UDP(一种非连接的服务)情况下,CBAC通过根据地址/端口配对检查包来决定UDP会话,相应地中止UDP“会话”访问。

---- CBAC根据状态表中的信息,动态地创建和删除每一个路由器接口的访问控制列表入口。这些入口在集成的防火墙中创建暂时的“开口”,允许有效的回返通信流量进入网络。与状态表相似,动态ACL在会话结束时不被保存。

---- 3.CBAC适用于何处
---- CBAC是针对每个接口进行配置的,可以被用于控制源于防火墙另一方的通信(双向); 但是,大多数客户将CBAC用于仅源于一方的通信(单向)。

---- 将CBAC配置为一个单向控制,其中客户会话是在内部网内启动的,必须穿过防火墙才能访问一个主机。例如,一个分支办事处可能需要跨一个广域网连接或Internet访问企业服务器。CBAC可根据需要打开连接,并监视回返通信流量。

---- 当位于防火墙两端的双方都需要保护时,CBAC可以成为一个双向解决方案。这种配置的一个例子是在两个合作伙伴公司的网络之间,某些应用程序的通信被限制在一个方向,而其他应用程序则被限制在另一个方向。

---- 4.有关CBAC的其他说明
---- 对于每一个连接,CBAC可为状态表和动态ACL跟踪分配内存。如果只有一个ACL组被配置在某一给定的方向,那么CBAC在每一个连接上所消耗的内存均 少于600B(跨所有平台)。一个应用程序会话可能包括多个TCP/UDP连接。例如,一个NetMeeting会话包括多达7个TCP/UDP连接。

---- CBAC和加密可以在同一接口上使用。但是,CBAC不能检查加密的数据包的内容。当路由器也是加密点时,CBAC和加密可以协同工作,即CBAC可以在加密以前检查数据包。

---- CBAC可以与快速交换和过程交换一同工作,在Cisco 1600和2500系列路由器平台上提供一流的性能。

三、应用实例

---- 下述实例是一个银证转账的示例。证券公司和银行支行位于一个县城,证券公司与银行支行之间有一条DDN,证券公司的服务器与该银行市行的服务器通信,实现信息交换(具体结构见附图)。

附图 信息交换具体结构图
---- 1.实施的技术

重新规划证券端的IP地址,使用私有地址172.68.0.0网段,在网络层将证券和银行网络隔开。

使用网络地址转换(NAT),将证券服务器需要访问的市行服务器进行地址转换(转换为172.68.0.0范围的地址)。这样一方面可以隐藏银行内部网络拓扑结构,另一方面可以使证券端路由器不需要了解前往银行市行的路由,只定义一个缺省网关即可。

使用访问控制列表ACL,仅仅允许证券端被授权主机对银行指定服务器使用FTP,同时打开ICMP(使用Ping命令)做测试用。其他访问都一概禁止。

对于银行内部网络访问证券端,应用了基于上下文的访问控制(CBAC),只有从银行内部发起的连接才被允许通过路由器。
---- Cisco IOS防火墙应用方案汇总如表2所示。

---- 2.简明配置

路由器基本安全配置
service password-encryption
//将配置中的口令加密显示
no service udp-small-servers
//下面的命令如果不使用就禁止
no service tcp-small-servers
no cdp running或no cdp enable
no ip source-route
enable secret your_password
no ip directed-broadcast

银行支行Cisco 2620的配置
ip inspect audit-trail
//将CBAC审计信息纪录到Syslog
ip inspect name security ftp
//监控FTP、TFTP、Telnet等TCP服务
ip inspect name security tftp
ip inspect name security tcp
interface Serial0/0
ip address 10.1.3.1 255.255.255.252
ip nat inside
//应用地址转换NAT
interface Serial1/1
ip address 172.68.1.1 255.255.255.0
ip access-group 101 in
//控制外单位进入的访问
ip inspect security out
//应用CBAC到往外单位
ip nat outside
//应用地址转换NAT
ip nat inside source static 10.1.1.100 172.68.1.100
//定义NAT地址映射
ip route 172.68.2.0 255.255.255.0 172.68.1.2
access-list 101 permit icmp any any
//配置访问控制列表允许Ping和Ftp
access-list 101 permit tcp host 172.68.2.6 host 172.68.1.100 eq ftp

证券公司Cisco 2501的配置
interface E0
ip address 172.68.2.254 255.255.255.0
interface Serial3
ip address 172.68.1.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 172.68.1.1
//缺省网关,隐藏路有信息

诊断命令
show ip inspect session
//察看建立的CBAC会话
show ip inspect all
//察看CBAC配置等信息
show ip nat transaction
//察看NAT地址转换映射条目
show ip nat statistics
//察看NAT统计数据
show ip access-list
//察看访稳控制列表应用情况
其他Debug调试命令
四、应用结论

---- 经测试,证券服务器可以访问银行市行的服务器,业务正常进行。从证券端(包括Cisco 2501路由器和服务器等)不能访问银行内部网络(开放了Ping调试用),银行内部网络对证券端来说完全隐藏(看不到任何包含10开头的地址或者路 由),而银行网络通过CBAC可以安全访问证券端的路由器或者服务器。

---- 通过Cisco IOS防火墙的应用实施,实现了银行和证券公司网络的隔开,并对外部隐藏了银行网络。访问控制又保证了拒绝非法访问并抵御外部网络攻击。事实上,除了在银行业的应用,Cisco IOS也适用于有多个分支机构的普通企业的中小安全应用。

给我留言

留言无头像?