讲师：兰青青手机： 13388198433 Email ： qingqinglan@gmail

局域网组建与维护 (高级路由与交换技术) 讲师：兰青青手机：13388198433 Email：qingqinglan@gmail.com

路由器安全技术

路由器安全技术介绍 • 身份认证技术： • 采用AAA、LINE、ENABLE等多种身份认证机制确保只有合法用户才能进入路由器系统； • 防火墙技术： • 采用ACL访问控制列表对数据流进行分类，确保只有合法数据可以通过路由器进行转发；并采用多种攻击检测技术防范网络攻击； • NAT技术： • 对一个IP地址用另一个IP地址替换甚至让多个内网IP地址公用一个公网IP，从而让内网IP可以访问公网服务器，并屏蔽内网地址信息； • VPN技术： • 采用IPSec GRE、VPDN等多种安全加密技术，确保路由器只与身份认证后的对端设备建立连接，并对传输的数据进行加密；

路由器身份认证体制 • 用户登录 • 已配置AAA • 看是否有配置AAA • 未配置AAA • 已配置line • 看是否有配置line • AAA认证 • 未配置line • line认证 • 进入Shell

用户及级别设置（1） ■ 设置用户及相关属性：使用user命令来配置本地用户和相关用户权限属性。 ※ 注意：用户分0－15级，15最高；只有高级别用户才能对低级别用户操作；设置用户密码时的参数0代表以明文输入，而不是以密文输入。

用户及级别设置（2） ■ 修改命令的级别：在迈普路由器IOS中的每个shell命令都有一个默认的级别，但是可以通过命令privilege来修改其默认级别。保证只有相应级别及以上的用户才有配置、查看相应命令的权限。 ■ 设置enable密码：设置进入各个用户级别的本地enable密码。也可以只设置一个共通的密码（0代表输入明文）。若没有配置enable密码，则非console用户不能进入特权模式。

用户及级别设置（3） ■ 设置line属性：路由器支持一个console口用户最多16个telnet用户和16个ssh用户同时登录到设备上，line命令可以为这些登录设置不同的认证、授权等属性。

AAA技术概念 AAA是认证、授权和统计（Authentication, Authorization and Accounting）的简称。它提供了一个用来对这三种安全功能进行配置的一致性框架。AAA的配置实际上是对网络安全的一种管理。这里的网络安全主要指访问控制。包括：－哪些用户可以访问网络服务器？－具有访问权的用户可以得到哪些服务？－如何对正在使用网络资源的用户进行记账？

AAA基本原理 NAS――网络接入服务器（Network Access Server）。在路由器上启动AAA安全服务作为NAS。当用户想要登录NAS或与 NAS建立连接（比如拨号连接）从而获得访问其他网络的权限时，NAS起到了验证用户的作用。 RADIUS――远程身份认证拨入用户服务（Remote Authentication Dial In User Service）。 Tacacs――Tacacs是终端访问控制系统（Terminal Access Controller Access Control System）的简称。

AAA认证相关配置 ■ AAA认证简单设置命令： ■ 配置范例： router(config-if)# aaa new-model 启动AAA功能 router(config-if)# aaa authentication login default local 对登陆用户根据本地用户数据库进行身份认证

防火墙技术 内联网通常采用一定的安全措施与企业或机构外部的Internet用户相隔离，这个安全措施就是防火墙（firewall）。防火墙技术一般分为两类，即：网络级防火墙主要是用来防止整个网络出现外来非法的入侵。属于这类的有包过滤（packet filtering）和授权服务器（authorization server）。应用级防火墙从应用程序来进行存取控制。通常使用应用网关或委托服务器（proxy server）来区分各种应用。例如，可以只允许通过万维网的应用，而阻止FTP应用的通过。

访问控制列表（ACL）技术 • 迈普路由器采用的是包过滤式的防火墙技术； • 包过滤式防火墙的核心就是通过访问控制列表来控制流入流出路由器的数据； • 访问控制列表以IP包信息为基础，对IP源地址、IP目标地址、协议类型及各协议的字段（如：TCP、UDP的端口号，ICMP的类型、代码，IGMP的类型等）进行筛选； • 访问列表根据过滤的内容可以分成2类，标准访问列表和扩展访问列表；

标准访问列表配置实例 建立标准访问列表2，定义了三条规则，最后将标准访问列表2应用于以太接口0。从以太接口0来的包中，只允许子网92.49.0.0上的主机IP地址为92.49.0.3发来的包通过，允许子网92.48.0.0上所有机器发来的包，拒绝接收其它的包。若要删除其中一条规则时做如下操作：

扩展访问列表配置命令（1） ■ 定义扩展访问控制列表：定义一个扩展访问列表，可以用数字命名，也可以是用户自定义名称，该命令将进入扩展访问列表配置模式。no格式是删掉某个访问列表，包含它下面的所有规则。 [no] ip access-listextended { access-list-number | access-list-name } ■ 规则定义：配置一条permit（或deny）扩展访问列表规则，no格式是删除指定的规则。 [no] [sequence] permitprotocolsourcesource-wildcard[operatorsource-port[source-port]] destinationdestination-wildcard [icmp-type] [igmp-type][operatordestination-port[destination-port]] [ack /fin / established / psh / rst / syn / urg] [precedenceprecedence] [tostos] [log] [audit] [time-rangetime-range-name]

扩展访问列表配置命令（2） ■ 规则定义中的参数1：

扩展访问列表配置命令（3） ■ 规则定义中的参数2：

扩展访问列表配置命令（4） ■ 在接口上应用访问控制列表：对于往内的访问列表，如果允许这个包，路由器软件继续处理这个包；如果拒绝这个包，防火墙软件就会扔掉这个包，并向源地址发送ICMP管理状态不可达的包。对于往出的访问列表，收到并路由一个包到接口后，防火墙软件根据访问列表检测包。如果允许这个包，路由器软件就会转发这个包；如果拒绝这个包，防火墙软件就会扔掉这个包，并向源地址发送ICMP管理状态不可达的包。 [no] ip access-group { access-list-number | access-list-name } { in | out }

防火墙的其他安全功能（1） ■ 伪源地址检测：伪源地址一直是攻击者最常利用的手段，常常被使用在会话劫持、DOS攻击等场合，而对于这样的报文进行检测也往往是很具有技术性的；最常规的检测是在各接口上配置接收方向的访问列表，进行包的过滤，但这种检测是相当有限的；本次防火墙功能加强增添了此方面的其它检测机制，从这样几个角度进行： 1、接收接口是否正确，如果接收到某报文的接口根本没有到达其源地址的路由，其路由应该取决于其它接口，该报文将被拦截； 2、从本路由器上根本找不到到达某报文源地址的路由，该报文被拦截； 3、从源地址来看，是直连路由且属于以太网，但在ARP表中找不到该MAC地址与源IP地址的对应，很可能是欺骗，拦截该报文； 4、不是直连路由，是接口路由，如果在ARP表中找不到该报文的MAC项，是不正常的，拦截该报文； 5、如果按照源地址来看是网关路由，但MAC地址却不是对应的网关的物理地址，很可能也是欺骗，拦截该报文； 6、其余的包，确定正常的或无法确定的，都放行；

防火墙的其他安全功能（2） ■ 攻击检测：根据开关检测攻击：ICMP flood、 Smurf、 Fraggle、 SYN flood、 LAND等；几种攻击包的检测（或监控）：反攻击一向是被动的，尤其是从包检测或基于会话的数据流检测的角度来说，所能够检测出来的攻击是有限的，往往只能局限于某些拒绝服务攻击和有限的欺骗或劫持行为，而对于另外一些类型的攻击，如缓冲区溢出、口令破解、甚至利用木马或后门来保留权限等等来说，只能是系统自身加以防备减少漏洞，网络设备的包检测手段是无能为力的；这几种检测主要也是针对 DOS攻击的：

攻击检测功能（1） ■ ip icmp intercept： ICMP flood，该攻击通过向目的服务器发送大量ICMP包，占用带宽，从而导致合法报文无法到达目的服务器，达到攻击目的；检测时，对于路由器所保护的各服务器地址为目的地址的ICMP报文进行记数，一旦报文的接收频率高出正常范围，则怀疑存在攻击行为，严格控制报文的流经频率；直到频率低出范围，又开始放行；此处理方式有一定的局限性：即当拒绝过量包时也拒绝了合法的包，但在综合考虑系统自身的承受能力的前提下，此方法是最合理的，且保证了目标服务器不被淹没；此方法只能用来保护路由器后面的目标服务器，但不能保护路由器自身； [no] ip icmp intercept list { access-list-number | access-list-name } [ maxcount ]

攻击检测功能（2） ■ ip smurf intercept： Smurf也是一种这种类型的攻击，攻击者先使用该受害主机的地址，向一个广播地址发送ICMP回响请求，在此广播网络上，潜在的数以千计的计算机将会做出响应，大量响应将发送到受害主机，此攻击后果同ICMP flood，但比之更为隐秘；此类包可通过两种方式拦截，如果伪源地址检测能够检测出来，直接拒绝该包，另外，可打开smurf检测开关，如果源地址是受保护的目的服务器地址，而目的地址是一个广播地址，则拦截这样的包； smurf自身利用的是ICMP_ECHO包，但考虑到其它的ICMP请求包也将导致同样的后果，因此，将检测扩展到类型ICMP_TSTAMP、ICMP_IREQ、ICMP_MASKREQ； [no] ip smurf intercept list {access-list-number|access-list-name } [ masklen {number} ]

攻击检测功能（3） ■ ip fraggle intercept：攻击fraggle严格说来，是一个smurf的变种，它针对许多防火墙对于ICMP包检查比较严格的前提，不再向广播地址发ICMP请求包，而是改为发送UDP包，当目的网段的计算机收到该包并检查到目的端口不可达时，将发给受害主机一个“目的端口不可达”的差错报文，大量的报文同时涌向受害主机，因而达到攻击目的；此检测与smurf检测大同小异，仅仅类型不同而已； [no] ip fraggle intercept list {access-list-number | access-list-name } [ masklen {number} ]

攻击检测功能（4） ■ ip tcp intercept land： LAND攻击则利用了系统的另一个弱点：许多系统不知道如何处理源地址与端口号等同于目的地址与端口号的SYN建连请求，导致系统紊乱或死机；因此，如果检测到了某个报文的源地址等于目的地址、源端口等于目的端口，当即扔掉这样的包。 [no] ip tcp intercept land

攻击检测功能（5） ■ ip tcp intercept land： LAND攻击则利用了系统的另一个弱点：许多系统不知道如何处理源地址与端口号等同于目的地址与端口号的SYN建连请求，导致系统紊乱或死机；因此，如果检测到了某个报文的源地址等于目的地址、源端口等于目的端口，当即扔掉这样的包。 [no] ip tcp intercept list {access-list-number | access-list-name } [ maxcount {number} ]

防火墙的监控与维护 ■ show access-lists：显示访问列表的内容, 当没有名称和编号时，显示所有的访问列表。 show access-lists { access-list-number | access-list-name } [audit] ■ show ip interface list：显示各接口上访问列表的应用。 ■ clear access-list counters：清除访问列表的计数器, 当没有名称和编号时，清除所有的访问列表的计数器。 ■ debug ip packet access-list：查看访问列表的过滤处理信息来监控和维护防火墙。

谢谢～

讲师：兰青青手机： 13388198433 Email ： qingqinglan@gmail