企業(yè)網(wǎng)絡(luò)安全技術(shù)與實踐

第 7章 企業(yè)網(wǎng)絡(luò)安全技術(shù)與實踐 7.1 訪問控制列表的基本原理 訪問控制列表 (ACL)是應(yīng)用到路由器接口的指令列表，用來控制進出的數(shù)據(jù)包。該列表由一系列 permit(允許 )和deny(拒絕 )語句組成的有序的集合，通過匹配報文中的信息與訪問控制列表參數(shù)可以過濾發(fā)進和發(fā)出的信息包的請求，實現(xiàn)對路由器和網(wǎng)絡(luò)的安全控制。 ACL是根據(jù)網(wǎng)絡(luò)中每個數(shù)據(jù)包所包含的信息和內(nèi)容決定是否允許該信息包通過指定的接口，可以讓網(wǎng)絡(luò)管理員以基于數(shù)據(jù)報文的源 IP地址、目地 IP地址和應(yīng)用類型的方式來控制網(wǎng)絡(luò)中數(shù)據(jù)的流量及流向，通過接口的數(shù)據(jù)包都要按照訪問控制列表的規(guī)則進行從上到下的順序比較操作，直到符合規(guī)則被允許通過，否則被拒絕丟棄。 7.1.1 訪問控制列表的概念及工作原理 1. ACL工作原理 選 擇 接 口執(zhí) 行 A C L可 路 由路 由 表項 目 比 較訪 問 控 制 列 表允 許數(shù) 據(jù) 包是否是否是否是否數(shù) 據(jù) 包丟 棄圖 7.1 訪問控制列表工作原理 首 條 匹 配下 條 匹 配否末 條 匹 配否丟 棄否是是是允 許否是至 輸 出 接 口圖 7.2 訪問控制列表表項匹配原理 2. 訪問控制列表的分類 （ 1）標(biāo)準(zhǔn)訪問控制列表 標(biāo)準(zhǔn)的 IP訪問控制列表，只檢查被路由的數(shù)據(jù)包的源地址，其結(jié)果是基于源網(wǎng)絡(luò) /子網(wǎng) /主機 IP地址來決定是允許還是拒絕數(shù)據(jù)包。 標(biāo)準(zhǔn)訪問控制列表的基本語法為： access-list standard permit/deny wildcardmask 其中： 1) 標(biāo)識條目所屬的列表，它是一個 1-99的數(shù)字標(biāo)識； 2) permit/deny指明該條目是允許還是阻塞指定的地址； 3) source-address標(biāo)識源 IP地址； 4) wildcardmask反向掩碼標(biāo)識哪些地址需進行匹配，默認反向掩碼是0.0.0.0(匹配所有 )。如果反向掩碼為： 0.0.0.255，則表示匹配的源地址掩碼為 255.255.255.0。 （ 2）擴展訪問控制列表 擴展的 IP訪問控制列表，對數(shù)據(jù)包的源地址與目標(biāo)地址均進行檢查 ,它們也能夠檢查特定的協(xié)議、端口號及其他參數(shù)。 擴展訪問控制列表基本語法： access-list protocol source-address source-wildcard operatorport destination-address destination-wildcard oper-ator port established log 其中： 1) 使用在 100199之間的一個數(shù)字標(biāo)識； 2) permit/deny指明該條目是允許還是阻塞指定的地址； 3) protocol可以是 IP、 TCP、 UDP、 ICMP、 GRE或 IGRP； 4) source-address、 source-wildcard、 destination-address、 destination-wildcard代表源 /目標(biāo)地址以及掩碼； 5) operator port可以是 lt(小于 )、 gt(大于 )、 eq(等于 )、 neq(不等于 )加上一個端口號； 6) established只用于 TCP訪問控制，該參數(shù)只影響 TCP連接三次握手中的第一次， ACL會對 TCP報文中的 ACK或 RST位進行檢查，如果 ACK或 RST位被置位，則表示數(shù)據(jù)包是正在進行的會話的一部分，否則是正在進行的連接會話。 （ 3）基于名稱的訪問控制列表 不管是標(biāo)準(zhǔn)訪問控制列表還是擴展訪問控制列表都有一個弊端，那就是當(dāng)設(shè)置好 ACL的規(guī)則后其中的某條需要修改，只能將全部 ACL信息都刪除，也就是說修改一條或刪除一條都會影響到整個 ACL列表。這一個缺點為網(wǎng)絡(luò)管理人員帶來了繁重的負擔(dān)，所以可以用基于名稱的訪問控制列表來解決這個問題。 基于名稱的訪問控制列表的格式： ip access-list standard/extended 當(dāng)建立基于名稱的訪問控制列表后，就可以添加或者修改訪問控制規(guī)則。 （ 4）基于時間的訪問控制列表 基于時間的訪問控制列表在繼承了擴展訪問控制列表的基礎(chǔ)上，引入了時間機制，可以在定制的時間段使擴展訪問控制列表生效。 例 7.1 標(biāo)準(zhǔn)訪問控制列表配置示例（網(wǎng)絡(luò)拓撲如圖7.3所示） 兩臺交換機 switchA為三層交換機，網(wǎng)絡(luò)內(nèi)共劃分了兩個 VLAN，分別為 VLAN100與 VLAN200，其中 PC1屬于 VLAN100， PC2屬于 VLAN200。兩臺交換機通過 trunk端口 fa0/1相連，使得 VLAN100與VLAN200可以通信。在 swithcB配置標(biāo)準(zhǔn)訪問控制列表，使得 PC1與 PC2不能通信，但 PC1能訪問switchA。 圖 7.3 標(biāo)準(zhǔn)訪問控制列表示例拓撲 （ 1）交換機的基本配置 劃分 VLAN100與 VLAN200，并且開啟 switchA的三層交換功能。主要配置內(nèi)容如下： / switchB上劃分 VLAN100與 VLAN200，并且將 PC1與 PC2分別劃分進 VLAN1 swithB(config)#vlan 100 swithB(config-vlan)#exit swithB(config)#vlan 200 swithB(config-vlan)#exit swithB(config)#int range fa0/2 swithB(config-if)#switchport access vlan 100 swithB(config-if)#exit swithB(config)#int fa0/3 swithB(config-if)#switchport access vlan 200 swithB(config-if)#exit swithB(config)#exit %SYS-5-CONFIG_I: Configured from console by console swithB#conf t /將 fa0/1接口鏈路配置成 trunk鏈路，封裝協(xié)議為 IEEE802.1q標(biāo)準(zhǔn) swithB(config)#int fa0/0 swithB(config-if)#switchport trunk encapsulation dot1q swithB(config-if)#switchport mode trunk swithB(config-if)#switchport trunk allowed vlan all swithB(config-if)#end swithB#write Building configuration. OK switchA(config)#int fa0/1 /將 fa0/1接口鏈路配置成 trunk鏈路，封裝協(xié)議為 IEEE802.1q標(biāo)準(zhǔn) switchA(config-if)#switchport trunk encapsulation dot1q switchA(config-if)#switchport mode trunk switchA(config-if)#switchport trunk allowed vlan all switchA(config-if)#exit /switchA上劃分 VLAN100與 VLAN200 switchA(config)#vlan 100 switchA(config-vlan)#exit switchA(config)#vlan 200 switchA(config-vlan)#exit switchA(config)#int vlan100 %LINK-5-CHANGED: Interface Vlan100, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to switchA(config-if)#ip address 192.168.100.1 255.255.255.0 switchA(config-if)#no shu switchA(config-if)#exit switchA(config)#int vlan200 %LINK-5-CHANGED: Interface Vlan200, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan200, changed state to up switchA(config-if)#ip address 192.168.200.2 255.255.255.0 switchA(config-if)#exit switchA(config)#exit %SYS-5-CONFIG_I: Configured from console by console switchA#write Building configuration. OK （ 2）配置標(biāo)準(zhǔn)訪問控制列表 switchB#conf t Enter configuration commands, one per line. End with CNTL/Z. switchB(config)#ip access-list standard test / 定義一個名稱標(biāo)準(zhǔn)訪問控制列表 test switchB(config-std-nacl)#deny host 192.168.200.2 / 第一條拒絕 pc2數(shù)據(jù)源 / 第二條允許所有訪問，因為默認最后一條為拒絕所有訪問， / 如果無此條，將拒絕所有訪問 switchB(config-std-nacl)#permit any switchB(config-std-nacl)#exit switchB(config)#int f0/1 switchB(config-if)#ip access-group test in switchB(config-if)#end switchB# 01:04:22: %SYS-5-CONFIG_I: Configured from console by console （ 3）結(jié)果測試 首先在 pc1上執(zhí)行 ping命令，測試到 pc2的連通性，請求數(shù)據(jù)包被 ACL阻止，執(zhí)行結(jié)果如下所示： Pc1#ping 192.168.200.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.200.2, timeout is 2 seconds: . Success rate is 0 percent (0/5) 隨后在 pc1上執(zhí)行 ping命令測試到 switchA的連通性，連通正常，結(jié)果如下所示： Pc1#ping 192.168.200.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds: ! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 7.2 VPN技術(shù)與應(yīng)用 7.2.1 VPN的概念 VPN是英文 Virtual Private Network的縮寫，一般譯為虛擬專用網(wǎng)絡(luò)，或者虛擬專網(wǎng)?，F(xiàn)已被人們作為一個專門的術(shù)語來接受。對于術(shù)語 VPN指的是依靠服務(wù)提供商（ ISP）和其它網(wǎng)絡(luò)服務(wù)提供商，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 Internet工程任務(wù)組（ Internet Engineer Task Force， IETF）草案將基于 IP的 VPN理解為：“使用 IP機制仿真出一個私有的廣域網(wǎng)”，它是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用 Internet公共數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)， VPN示意圖如圖 7.8所示。 廣 域 網(wǎng)圖 7.8VPN示意圖 1. VPN的功能 1) 基于公鑰基礎(chǔ)設(shè)施（ PKI）的用戶版權(quán)體系 2) 身份驗證和數(shù)據(jù)加密 3) 數(shù)據(jù)完整性保護 4) 提供訪問控制 2. VPN的分類 1）按業(yè)務(wù)分類 2）按 VPN在網(wǎng)絡(luò)中實現(xiàn)的位置分類 3. VPN的主要技術(shù) 1）隧道技術(shù) 2）密碼技術(shù) 3）身份認證技術(shù) 4）密鑰管理技術(shù) 7.2.2 IPSec協(xié)議 1. IPSec體系結(jié)構(gòu) IPSec（ IP Security）是 IETF IPSec工作組為了在 IP層提供通信安全而制定的一套協(xié)議族。它包括安全協(xié)議部分和密鑰協(xié)商部分，安全協(xié)議部分定義了對通信的安全保護機制；密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護參數(shù)，以及如何對通信實體的身份進行鑒別。 IPSec主要由認證頭協(xié)議 (AH)、封裝安全載荷協(xié)議(ESP)和因特網(wǎng)密鑰交換協(xié)議 (IKE)三部分組成，各個協(xié)議之間的關(guān)系如圖 7.9所示。 體 系解 釋 域安 全 策 略密 鑰 管 理加 密 和 認 證 算 法認 證 頭封 裝 安 全 載 荷圖 7.9 IPSec體系結(jié)構(gòu) AH為 IP數(shù)據(jù)包提供無連接的數(shù)據(jù)完整性和數(shù)據(jù)源身份認證，同時具有抗重放攻擊的能力。數(shù)據(jù)完整性校驗通過消息認證碼來保證，數(shù)據(jù)源身份認證通過在待認證數(shù)據(jù)中加入一個共享密鑰來實現(xiàn)， AH報頭中的序列號可以防止重放攻擊。 ESP為數(shù)據(jù)包提供保密性、完整性、數(shù)據(jù)源身份認證和抗重放攻擊保護。其中數(shù)據(jù)的保密性是 ESP的基本功能，而數(shù)據(jù)源身份認證、數(shù)據(jù)完整性以及抗重放攻擊保護都是可選服務(wù)。 解釋域 (DOI)將所有的 IPSec協(xié)議捆綁在一起，是 IPSec參數(shù)的重要數(shù)據(jù)庫。 密鑰管理包括 IKE協(xié)議和安全關(guān)聯(lián) SA部分。 IKE負責(zé)密鑰協(xié)商，密鑰管理以及在通信系統(tǒng)之間建立安全關(guān)聯(lián)，是一個產(chǎn)生和交換密鑰材料并協(xié)商 IPSec參數(shù)的框架。 IKE將密鑰協(xié)商的結(jié)果保留在 SA條目中，供AH和 ESP以后通信使用。 安全策略負責(zé)哪些通信數(shù)據(jù)允許加密和認證，其由訪問控制列表控制。 2. 配置 IPSec的相關(guān)概念 （ 1）數(shù)據(jù)流 一組具有相同源網(wǎng)絡(luò)地址 /掩碼、目的網(wǎng)絡(luò)地址 /掩碼和上層協(xié)議的數(shù)據(jù)集合稱為數(shù)據(jù)流。通常采用一個擴展訪問控制列表 ACL來定義數(shù)據(jù)流，其中允許通過的所有報文在邏輯上作為一個數(shù)據(jù)流。注意， IPSec能夠?qū)Σ煌臄?shù)據(jù)流施加不同的安全保護，也就是說對不同的數(shù)據(jù)流使用不同的安全協(xié)議、算法或密鑰，因此可以在一個網(wǎng)關(guān)中定義多個 ACL。 （ 2）變換集（ Transform Set） 變換集為一組數(shù)據(jù)流安全參數(shù)的配置集合，包括 SA使用的安全協(xié)議（ AH或者 ESP）、安全協(xié)議使用的算法（驗證和加密算法）、安全協(xié)議對報文的封裝形式（隧道模式或傳送模式）。 （ 3） 安全策略 一條安全策略由“名字”和“順序號”標(biāo)識。規(guī)定對一組數(shù)據(jù)流采用什么樣的安全措施，安全策略的功能是通過調(diào)用變換集實現(xiàn)的。一條安全策略包含三部分內(nèi)容：一條訪問控制列表、一個可用的變換集和一對 SA。 （ 4）安全策略組（加密映像） 具有相同名字的安全策略構(gòu)成安全策略組，其是與使用 IPSec的接口一一對應(yīng)的，從而實現(xiàn)在一個接口上同時應(yīng)用一個安全策略組中的多個安全策略，實現(xiàn)對不同的數(shù)據(jù)流進行不同的安全保護。在一個安全策略組中，安全策略順序號越小，其優(yōu)先級越高。 一般情況下，一條數(shù)據(jù)流與一對 SA相對應(yīng)，一對 SA又與一條安全策略相對應(yīng)。一個安全策略組對應(yīng)網(wǎng)關(guān)的一個接口，其中可以包含多條安全策略。在 Cisco路由器中，安全策略組是通過加密映射命令 crypto map命令來配置的，同一個安全策略組中的不同策略通過 crypto map集中的不同編號項來表示，所以又將安全策略組稱為加密映像。 例 7.4 基于 IPSec的 VPN配置示例（網(wǎng)絡(luò)拓撲如圖 7.12所示） 某公司總部的路由器設(shè)為 RouterA，兩個分部的路由器分別為 RouterB和 RouterC，三個部門均和互聯(lián)網(wǎng)相連。 圖 7.12 基于 IPSec的 VPN示例拓撲 本案例中，互聯(lián)網(wǎng)采用路由器 routerD代替，代替后的等效拓撲圖如圖 7.13所示。由于業(yè)務(wù)安全需要，要求將三個部門之間建立不同的安全通道。每個安全通道要求進行數(shù)據(jù)加密和完整性驗證，部門兩兩之間實現(xiàn) IPSec VPN的訪問 。 圖 7.13 基于 IPSec的 VPN等效拓撲圖 步驟 1：基本配置，其中 routerA、 routerB和routerC配置默認路由通往外部的 internet，主要命令請參閱 5.2節(jié)內(nèi)容。 步驟 2：配置 IKE，包括啟用 IKE策略和驗證配置。 因為公司三個分布的路由器需要建立 VPN，所以需要六對SA，分別是 routerArouterB（雙向兩對 SA）、 rouerArouerC（雙向兩對 SA）、 rouerBrouerC（雙向兩對SA）。其中 SA的協(xié)商和建立是由 IKE在 isakmp體系框架內(nèi)完成的。 激活路由器上的 IKE協(xié)議。默認情況下，路由器上 IKE是激活的。 routerA(config)# crypto isakmp enable routerB(config)# crypto isakmp enable routerC(config)# crypto isakmp enable 配置 IKE參數(shù) 在 routerA上配置 IKE參數(shù)，配置內(nèi)容如下所示： / 創(chuàng)建一個 isakmp策略，每一個 isakmp策略集合了 IKE配置參數(shù) routerA (config)#crypto isakmp policy 100 / IKE報文加密形式為預(yù)共享密鑰（其他形式不再討論） routerA (config- isakmp)#authentication pre-share / IKE報文加密算法為 3des算法 routerA (config- isakmp)#encryption 3des / IKE報文認證為 md5算法 routerA (config- isakmp)#hash md5 / 密鑰交換為 Diffie-Hellman算法， group2代表該算法產(chǎn)生 1024位素數(shù)， / group1代表該算法產(chǎn)生 768位素數(shù) routerA (config- isakmp)#group 2 / 在路由器上配置預(yù)共享密鑰和 SA對等體，每對對等體的密鑰可以不同，本案例為 cisco， routerA的 SA對等體分別為 routerB和 routerC routerA(config)#crypto isakmp key 0 cisco address 202.117.2.2 routerA(config)#crypto isakmp key 0 cisco address 202.117.3.2 由于 routerA與 routerB互為安全關(guān)聯(lián)對等實體，所以 routerB中的 IKE配置參數(shù)必須和 routerA中的一樣， routerB的配置內(nèi)容如下所示： / 創(chuàng)建一個 isakmp策略，策略編號每個路由器可以不同 routerB(config)#crypto isakmp policy 100 routerB(config-isakmp)#authentication pre-share routerB(config-isakmp)#encryption 3des routerB(config-isakmp)#hash md5 routerB(config-isakmp)#group 2 routerB(config-isakmp)#exit routerB(config)#crypto isakmp key 0 cisco address 202.117.1.2 routerB(config)#crypto isakmp key 0 cisco address 202.117.3.2 routerB(config)#exit routerB#write *Jun 17 12:55:46.963: %SYS-5-CONFIG_I: Configured from console by console Building configuration. OK 同理， routerC的 IKE配置內(nèi)容如下所示： routerC(config)#crypto isakmp policy 100 routerC(config-isakmp)#authentication pre-share routerC(config-isakmp)#encryption 3des routerC(config-isakmp)#hash md5 routerC(config-isakmp)#group 2 routerC(config-isakmp)#exit routerC(config)#crypto isakmp key 0 cisco address 202.117.1.2 routerC(config)#crypto isakmp key 0 cisco address 202.117.2.2 routerC(config)#exit routerC#write 步驟 3：配置 IPSec IKE建立的安全連接是為了進行 IPSec安全關(guān)聯(lián)的協(xié)商，必須正確配置VPN的 IPSec參數(shù)才能保證 VPN正常工作。 IPSec配置內(nèi)容包括創(chuàng)建加密用的訪問控制列表、定義交換集，創(chuàng)建加密圖（ crypto map）條目，并且在接口上應(yīng)用加密圖。 配置加密用的 ACL，加密 ACL用來指定那些離開本地路由器時必須加密的流量。路由器只加密外出的 ACL允許的流量。如果路由器收到對等體發(fā)來的應(yīng)該加密而未加密的流量，數(shù)據(jù)將被丟棄。如果 VPN正常工作，兩個對等體站點的 ACL允許的流量都會被加密。 本案例中 routerA應(yīng)該對所連接的私有網(wǎng)絡(luò)： 192.168.1.0/24進行加密，同樣， routerB和 routerC也對所連接的私有網(wǎng)絡(luò)進行加密，這就需要在三個路由中配置加密 ACL。 routerA(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 routerA(config)# access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 routerB(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 routerB(config)#access-list 103 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 routerC(config)#access-list 103 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 routerC(config)#access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 在發(fā)起 SA協(xié)商之前，兩個對等端需要統(tǒng)一參數(shù)，變換集就規(guī)定了SA協(xié)商所需的參數(shù)。 在 routerA上配置 IPSec的變換集，內(nèi)容如下所示： routerA(config)#crypto ipsec transform-set setA-B esp-3des esp-md5-hmac routerA(cfg-crypto-trans)#mode tunnel routerA(cfg-crypto-trans)#exit routerA(config)#crypto ipsec transform-set setA-C esp-3des esp-md5-hmac routerA(cfg-crypto-trans)#mode tunnel routerA(cfg-crypto-trans)#exit routerA(config)#crypto ipsec security-association