网络安全--边界安全

网络安全--边界安全（1）
现在人们生活依赖互联网水平越来越高，网络安全也逐步进入人们一样平常视野，名誉卡信息泄漏、开房记录被查询、贸易机密泄漏等等；无不牵动着一个人、一个公司、乃至一个国家的神经。随着技术的发展，网络边界变得也越来越复杂，好比web应用、无线接入、DCI、×××等技术的应用，导致网络边界变的好像很庞杂，无从下手；但是无论是对边界进行分层加固，还是加强对各个网络入口的安全审计，亦或是对使用人员进行安全培训；都必须对各自网络心中有数。网络边界设备一般是路由器、交换机大概防火墙。

边界安全—ACL

   路由器大概交换机作为边界时，根本上都配置了访问控制列表ACL，像银行等有些地方ACL的数量大概非常庞大，到达了几千条乃至更多，边界使用较多的设备一般为：Nexus7K、cisco7600、Cisco6500、huawei 9300、huwei CloudEngine等，下面将以cisco为例先容边界重要的安全措施ACL。

ACL应用情况：
1、  控制邻人设备间的路由信息。
2、  控制穿越设备的流量网络访问。
3、  控制console、VTY访问。
4、  定义IPsec ×××等的感兴趣流。
5、  实施QoS等其他特性。

ACl配置
1、  创建一个ACL
2、  将ACL应用到一个接口中。

ACl范例

1、  尺度ACL。编号1~99，只能过滤源IP数据包。
2、  扩展ACL。编号100~199，可以基于源IP、目标IP、协议、端口、flag等进行流量过滤。
3、  命名ACL。可以应用在尺度和扩展ACL上，用名字取代数字，方便配置管理，使用较多。
4、  分类ACL。一般用于DoS等安全鉴别。
5、  其他很少用的ACL范例。动态ACL、自反ACL、time ACL、调试ACL等。

ACL实施准则

1、  ACL可以在多个接口同时使用(复用)。
2、  同一接口只能对同一协议使用一个ACL，例如一个出站ACL、一个入站ACL。针对差别协议，一个接口上可以应用多与两个ACL。
3、  ACL匹配顺序处理，准确的放在前面。
4、  始终要遵循先创建ACL，然后在应用到接口上；修改时就要先移除acl，修改完成后，在应用到接口。
5、  应用到路由器的出站ACL只检查通过路由器的流量，就是说不会检查自身产生的流量。
6、  对于尺度ACL，应该应用在流量传输离目标地最近的位置，对于扩展ACL应用在离源最近的位置。

ACL应用举例
 

1、  假如一个数据中心的边界是一台交换机，内部仅提供Web，DNS应用，为安全考虑实施ACL控制。
Ipaccess test-sample
Deny ip 10.0.0.0/8 any      ------拒绝RFC1918地址
Deny ip 172.16.0.0/21 any
Deny ip 192.168.0.0/16 any
Permit tcp any 1.1.1.2/32 eq www  -------开放web tcp的80端口
Permit udp any 1.1.1.3/32 eq 53     --------开放DNS udp 的53端口
然后把该acl应用到毗连出口的in方向即可。
2、  假如该数据中心服务器正在遭受攻击，由于没有其他防护检测设备，使用acl进行排查。

access-list 169 permit icmp any any echo
access-list 169 permit icmp any anyecho-reply
access-list 169 permit udp any any eq echo
access-list 169 permit udp any eq echo any
access-list 169 permit tcp any anyestablished
access-list 169 permit tcp any any
access-list 169 permit ip any any
然后把接口应用到出口的in方向，然后通过showip access-list检察匹配数量，最后在匹配数据较大的acl条目上使用log-input，接下来看日志就可以发现攻击源IP了。(在Nexus交换机上需要添加statistics per-entry才可以进行acl匹配计数)。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。