網(wǎng)絡(luò)安全--邊界安全(1)-創(chuàng)新互聯(lián)

網(wǎng)絡(luò)安全--邊界安全(1)

成都創(chuàng)新互聯(lián)公司是由多位在大型網(wǎng)絡(luò)公司、廣告設(shè)計(jì)公司的優(yōu)秀設(shè)計(jì)人員和策劃人員組成的一個(gè)具有豐富經(jīng)驗(yàn)的團(tuán)隊(duì),其中包括網(wǎng)站策劃、網(wǎng)頁(yè)美工、網(wǎng)站程序員、網(wǎng)頁(yè)設(shè)計(jì)師、平面廣告設(shè)計(jì)師、網(wǎng)絡(luò)營(yíng)銷人員及形象策劃。承接:成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、網(wǎng)站改版、網(wǎng)頁(yè)設(shè)計(jì)制作、網(wǎng)站建設(shè)與維護(hù)、網(wǎng)絡(luò)推廣、數(shù)據(jù)庫(kù)開(kāi)發(fā),以高性價(jià)比制作企業(yè)網(wǎng)站、行業(yè)門戶平臺(tái)等全方位的服務(wù)。

現(xiàn)在人們生活依賴互聯(lián)網(wǎng)程度越來(lái)越高,網(wǎng)絡(luò)安全也逐步進(jìn)入人們?nèi)粘R曇?,信用卡信息泄漏、開(kāi)房記錄被查詢、商業(yè)機(jī)密泄漏等等;無(wú)不牽動(dòng)著一個(gè)人、一個(gè)公司、甚至一個(gè)國(guó)家的神經(jīng)。隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)邊界變得也越來(lái)越復(fù)雜,比如web應(yīng)用、無(wú)線接入、DCI、×××等技術(shù)的應(yīng)用,導(dǎo)致網(wǎng)絡(luò)邊界變的好像很龐雜,無(wú)從下手;但是無(wú)論是對(duì)邊界進(jìn)行分層加固,還是加強(qiáng)對(duì)各個(gè)網(wǎng)絡(luò)入口的安全審計(jì),亦或是對(duì)使用人員進(jìn)行安全培訓(xùn);都必須對(duì)各自網(wǎng)絡(luò)心中有數(shù)。網(wǎng)絡(luò)邊界設(shè)備一般是路由器、交換機(jī)或者防火墻。

邊界安全—ACL

  路由器或者交換機(jī)作為邊界時(shí),基本上都配置了訪問(wèn)控制列表ACL,像銀行等有些地方ACL的數(shù)量可能非常龐大,達(dá)到了幾千條甚至更多,邊界使用較多的設(shè)備一般為:Nexus7K、cisco7600、Cisco6500、huawei 9300、huwei CloudEngine等,下面將以cisco為例介紹邊界重要的安全措施ACL。

ACL應(yīng)用情形:

1、 控制鄰居設(shè)備間的路由信息。

2、 控制穿越設(shè)備的流量網(wǎng)絡(luò)訪問(wèn)。

3、 控制console、VTY訪問(wèn)。

4、 定義IPsec ×××等的感興趣流。

5、 實(shí)施QoS等其他特性。

ACl配置

1、 創(chuàng)建一個(gè)ACL

2、 將ACL應(yīng)用到一個(gè)接口中。

ACl類型

1、 標(biāo)準(zhǔn)ACL。編號(hào)1~99,只能過(guò)濾源IP數(shù)據(jù)包。

2、 擴(kuò)展ACL。編號(hào)100~199,可以基于源IP、目的IP、協(xié)議、端口、flag等進(jìn)行流量過(guò)濾。

3、 命名ACL??梢詰?yīng)用在標(biāo)準(zhǔn)和擴(kuò)展ACL上,用名字代替數(shù)字,方便配置管理,使用較多。

4、 分類ACL。一般用于DoS等安全鑒別。

5、 其他很少用的ACL類型。動(dòng)態(tài)ACL、自反ACL、time ACL、調(diào)試ACL等。

ACL實(shí)施準(zhǔn)則

1、 ACL可以在多個(gè)接口同時(shí)使用(復(fù)用)。

2、 同一接口只能對(duì)同一協(xié)議使用一個(gè)ACL,例如一個(gè)出站ACL、一個(gè)入站ACL。針對(duì)不同協(xié)議,一個(gè)接口上可以應(yīng)用多與兩個(gè)ACL。

3、 ACL匹配順序處理,精確的放在前面。

4、 始終要遵循先創(chuàng)建ACL,然后在應(yīng)用到接口上;修改時(shí)就要先移除acl,修改完成后,在應(yīng)用到接口。

5、 應(yīng)用到路由器的出站ACL只檢查通過(guò)路由器的流量,就是說(shuō)不會(huì)檢查自身產(chǎn)生的流量。

6、 對(duì)于標(biāo)準(zhǔn)ACL,應(yīng)該應(yīng)用在流量傳輸離目的地最近的位置,對(duì)于擴(kuò)展ACL應(yīng)用在離源最近的位置。

ACL應(yīng)用舉例

 網(wǎng)絡(luò)安全--邊界安全(1)

1、 假如一個(gè)數(shù)據(jù)中心的邊界是一臺(tái)交換機(jī),內(nèi)部?jī)H提供Web,DNS應(yīng)用,為安全考慮實(shí)施ACL控制。

Ipaccess test-sample

Deny ip 10.0.0.0/8 any     ------拒絕RFC1918地址

Deny ip 172.16.0.0/21 any

Deny ip 192.168.0.0/16 any

Permit tcp any 1.1.1.2/32 eq www -------開(kāi)放web tcp的80端口

Permit udp any 1.1.1.3/32 eq 53    --------開(kāi)放DNS udp 的53端口

然后把該acl應(yīng)用到連接出口的in方向即可。

2、 假如該數(shù)據(jù)中心服務(wù)器正在遭受***,由于沒(méi)有其他防護(hù)檢測(cè)設(shè)備,使用acl進(jìn)行排查。

access-list 169 permit icmp any any echo

access-list 169 permit icmp any anyecho-reply

access-list 169 permit udp any any eq echo

access-list 169 permit udp any eq echo any

access-list 169 permit tcp any anyestablished

access-list 169 permit tcp any any

access-list 169 permit ip any any

然后把接口應(yīng)用到出口的in方向,然后通過(guò)showip access-list查看匹配數(shù)目,最后在匹配數(shù)據(jù)較大的acl條目上使用log-input,接下來(lái)看日志就可以發(fā)現(xiàn)***源IP了。(在Nexus交換機(jī)上需要添加statistics per-entry才可以進(jìn)行acl匹配計(jì)數(shù))。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無(wú)理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享文章:網(wǎng)絡(luò)安全--邊界安全(1)-創(chuàng)新互聯(lián)
轉(zhuǎn)載源于:http://bm7419.com/article12/godgc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設(shè)計(jì)公司、關(guān)鍵詞優(yōu)化、Google網(wǎng)站改版、品牌網(wǎng)站制作、虛擬主機(jī)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都seo排名網(wǎng)站優(yōu)化