配置指导命令详解

黑暗光明线
2 ℃
2019-12-13

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

第一部分配置原则概述...............................................................21需要注意的配置事项...............................................................21.1配置ACL对非法报文进行过滤.......................................................21.1.1进行源IP和目的IP过滤......................................................21.1.2限制ICMP报文..............................................................41.1.3限制netbios协议端口.......................................................41.1.4限制常见病毒使用的端口....................................................41.1.5关闭没有使用的端口........................................................51.2NAT配置注意事项.................................................................61.3路由配置注意事项................................................................61.4进行IP-MAC地址绑定..............................................................71.5限制P2P应用（根据实际情况可选）.................................................71.5.1通过ACL限制端口...........................................................71.5.2结合QOS和ACL限制端口流量..................................................71.5.3限制单机的NAT会话数.......................................................91.5.4在客户机上通过软件限制....................................................92附：限制常见P2P软件端口的ACL....................................................10第二部分典型配置实例..............................................................111单出口典型配置..................................................................111.1局域网内的主机地址是私网IP地址.................................................111.2局域网内的主机地址是公网IP地址.................................................172双出口链路备份典型配置..........................................................242.1两条链路都是以太网链路的情况...................................................242.2两条链路是以太网链路+PPPOE链路的情况...........................................333双出口同时实现负载分和链路备份典型配置..........................................41第一部分配置原则概述随着网络建设和应用的不断深入，网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置可以控制和管理网络的流量，能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中，全面合理的配置能够大大提高网络的稳定性和可靠性。由于网吧上网人员数量多、构成复杂、流动性大，因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒，同时也很容易被用来发起网络攻击，或者被他人攻击，这就对网吧中的核心设备――网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项，同时给出了各种组网情况下的典型配置。1需要注意的配置事项1.1配置ACL对非法报文进行过滤ACL是每个安全策略的组成部份，控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。1.1.1进行源IP和目的IP过滤至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP38(BestCurrentPractice)中高度建议使用入口过滤，这不仅可以使你的网络安全，而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份，在网络使用了入口过滤功能后，也更加容易定位网络攻击者，因为攻击者必须使用真实的源IP地址。例如：假设局域网接口的IP地址为192.168.1.0/24，广域网接口的IP地址为162.1.1.0/30，在局域网接口可以设置：aclnumber3003rule2000permitipsource192.168.1.00.0.0.255rule3000denyip在广域网接口可以设置：aclnumber3001rule2000permitipdestination162.1.1.00.0.0.3rule2001permitipdestination192.168.1.00.0.0.255rule3000denyip在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。例如：#aclnumber3011rule160permiticmpicmp-typeechorule161permiticmpicmp-typeecho-replyrule162permiticmpicmp-typettl-exceededrule206permittcpdestination-porteqtelnetrule3000denyip#interfaceEthernet1/0ipaddress172.30.79.6255.255.255.252firewallpacket-filter3011inboundfirewallaspf1outbound#注意事项：由于目前ASPF对内存和性能的影响较大，网吧应用环境中不建议在AR18系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。1.1.2限制ICMP报文ICMP报文是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP报文作为攻击手段。但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。因此，实际上我们可以仅允许ICMP的pingecho和pingreply及traceroute所需要的TTL开放。其它的均可以关闭。例如：aclnumber3001rule160permiticmpicmp-typeechorule161permiticmpicmp-typeecho-replyrule162permiticmpicmp-typettl-exceededrule165denyicmp1.1.3限制netbios协议端口在现今的网络上，充斥着大量的网络扫描。基于UDP137,138端口的扫描是常见的扫描，UDP137和UDP138是netbios的数据报和名字服务。通常情况下，进入到路由器的137和138包是广播包，而路由器在默认情况下是不转发这些广播包的。但在某些情况下，一些扫描工具扫描UDP137和UDP138的端口，以图找出主机上的共享文件夹。这种情况下，进入路由器的数据包会是unicast的137和138，而且通常目的地址不停变化。因此我们可以将这些UDP138和138的数据包通过ACL挡断。保护用户和网络的安全。例如：aclnumber3001rule31denyudpdestination-porteqnetbios-nsrule41denyudpdestination-porteqnetbios-dgmrule51denyudpdestination-porteqnetbios-ssn1.1.4限制常见病毒使用的端口一般网吧中存在大量的“冲击波”、“震荡波”等病毒，这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据，这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中发现56％的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口，比如TCP/135、TCP/4444、UDP/1434、TCP/5554、TCP/9996等，通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。例如：aclnumber3001rule10denytcpdestination-porteq445/Worm.Blasterrule11denyudpdestination-porteq445/Worm.Blasterrule20denytcpdestination-porteq135/Worm.Blasterrule21denyudpdestination-porteq135/Worm.Blasterrule30denytcpdestination-porteq137rule40denytcpdestination-porteq138rule50denytcpdestination-porteq139/Worm.Blasterrule61denyudpdestination-porteqtftp/Worm.Blasterrule70denytcpdestination-porteq593/Worm.Blasterrule80denytcpdestination-porteq4444/Worm.Blasterrule90denytcpdestination-porteq707/NachiBlaster-Drule100denytcpdestination-porteq1433rule101denyudpdestination-porteq1433rule110denytcpdestination-porteq1434rule111denyudpdestination-porteq1434/SQLSlammerrule120denytcpdestination-porteq5554/Sasserrule130denytcpdestination-porteq9996/Sasser1.1.5关闭没有使用的端口网络中每时每刻都存在大量的扫描报文，扫描软件一般都会先探测目的主机开放了哪些端口。对于常用的应用程序，如、ftp、tftp等，如果局域网内并没有机器开放这些服务，可以在广域网接口通过ACL对匹配这些目的端口的报文进行过滤。例如：aclnumber3001rule200denytcpdestination-porteq