企业网络安全技术与实践

第7章 企业网络安全技术与实践 7.1 访问控制列表的基本原理访问控制列表的基本原理 访问控制列表访问控制列表(ACL)是应用到路由器接口的指令列表，用是应用到路由器接口的指令列表，用来控制进出的数据包。该列表由一系列来控制进出的数据包。该列表由一系列permit(允许允许)和和deny(拒绝拒绝)语句组成的有序的集合，通过匹配报文中的信语句组成的有序的集合，通过匹配报文中的信息与访问控制列表参数可以过滤发进和发出的信息包的请息与访问控制列表参数可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。求，实现对路由器和网络的安全控制。ACL是根据网络中是根据网络中每个数据包所包含的信息和内容决定是否允许该信息包通每个数据包所包含的信息和内容决定是否允许该信息包通过指定的接口，可以让网络管理员以基于数据报文的源过指定的接口，可以让网络管理员以基于数据报文的源IP地址、目地地址、目地IP地址和应用类型的方式来控制网络中数据的地址和应用类型的方式来控制网络中数据的流量及流向，通过接口的数据包都要按照访问控制列表的流量及流向，通过接口的数据包都要按照访问控制列表的规则进行从上到下的顺序比较操作，直到符合规则被允许规则进行从上到下的顺序比较操作，直到符合规则被允许通过，否则被拒绝丢弃。通过，否则被拒绝丢弃。 7.1.1 访问控制列表的概念及工作原理 1. ACL工作原理图7.1 访问控制列表工作原理图7.2 访问控制列表表项匹配原理2. 访问控制列表的分类（1）标准访问控制列表 标准的IP访问控制列表，只检查被路由的数据包的源地址，其结果是基于源网络/子网/主机IP地址来决定是允许还是拒绝数据包。 标准访问控制列表的基本语法为： access-list standard permit/deny wildcardmask其中：1) 标识条目所属的列表，它是一个1-99的数字标识；2) permit/deny指明该条目是允许还是阻塞指定的地址；3) source-address标识源IP地址；4) wildcardmask反向掩码标识哪些地址需进行匹配，默认反向掩码是0.0.0.0(匹配所有)。如果反向掩码为：0.0.0.255，则表示匹配的源地址掩码为255.255.255.0。（2）扩展访问控制列表 扩展的IP访问控制列表，对数据包的源地址与目标地址均进行检查,它们也能够检查特定的协议、端口号及其他参数。 扩展访问控制列表基本语法： access-list protocol source-address source-wildcard operatorport destination-address destination-wildcard oper-ator port established log其中：1) 使用在100199之间的一个数字标识；2) permit/deny指明该条目是允许还是阻塞指定的地址；3) protocol可以是IP、TCP、UDP、ICMP、GRE或IGRP；4) source-address、source-wildcard、destination-address、destination-wildcard代表源/目标地址以及掩码；5) operator port可以是lt(小于)、gt(大于)、 eq(等于)、 neq(不等于)加上一个端口号；6) established只用于TCP访问控制，该参数只影响TCP连接三次握手中的第一次，ACL会对TCP报文中的ACK或RST位进行检查，如果ACK或RST位被置位，则表示数据包是正在进行的会话的一部分，否则是正在进行的连接会话。（3）基于名称的访问控制列表 不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后其中的某条需要修改，只能将全部ACL信息都删除，也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点为网络管理人员带来了繁重的负担，所以可以用基于名称的访问控制列表来解决这个问题。 基于名称的访问控制列表的格式： ip access-list standard/extended 当建立基于名称的访问控制列表后，就可以添加或者修改访问控制规则。（4）基于时间的访问控制列表 基于时间的访问控制列表在继承了扩展访问控制列表的基础上，引入了时间机制，可以在定制的时间段使扩展访问控制列表生效。 例7.1 标准访问控制列表配置示例（网络拓扑如图7.3所示） 两台交换机switchA为三层交换机，网络内共划分了两个VLAN，分别为VLAN100与VLAN200，其中PC1属于VLAN100，PC2属于VLAN200。两台交换机通过trunk端口fa0/1相连，使得VLAN100与VLAN200可以通信。在swithcB配置标准访问控制列表，使得PC1与PC2不能通信，但PC1能访问switchA。图7.3 标准访问控制列表示例拓扑（1）交换机的基本配置划分VLAN100与VLAN200，并且开启switchA的三层交换功能。主要配置内容如下：/ switchB上划分VLAN100与VLAN200，并且将PC1与PC2分别划分进VLAN1swithB(config)#vlan 100swithB(config-vlan)#exitswithB(config)#vlan 200swithB(config-vlan)#exitswithB(config)#int range fa0/2swithB(config-if)#switchport access vlan 100swithB(config-if)#exitswithB(config)#int fa0/3swithB(config-if)#switchport access vlan 200swithB(config-if)#exitswithB(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleswithB#conf t/将fa0/1接口链路配置成trunk链路，封装协议为IEEE802.1q标准swithB(config)#int fa0/0swithB(config-if)#switchport trunk encapsulation dot1qswithB(config-if)#switchport mode trunkswithB(config-if)#switchport trunk allowed vlan allswithB(config-if)#endswithB#writeBuilding configuration.OKswitchA(config)#int fa0/1/将fa0/1接口链路配置成trunk链路，封装协议为IEEE802.1q标准switchA(config-if)#switchport trunk encapsulation dot1qswitchA(config-if)#switchport mode trunkswitchA(config-if)#switchport trunk allowed vlan allswitchA(config-if)#exit/switchA上划分VLAN100与VLAN200switchA(config)#vlan 100switchA(config-vlan)#exitswitchA(config)#vlan 200switchA(config-vlan)#exitswitchA(config)#int vlan100%LINK-5-CHANGED: Interface Vlan100, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to switchA(config-if)#ip address 192.168.100.1 255.255.255.0switchA(config-if)#no shuswitchA(config-if)#exitswitchA(config)#int vlan200%LINK-5-CHANGED: Interface Vlan200, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan200, changed state to upswitchA(config-if)#ip address 192.168.200.2 255.255.255.0switchA(config-if)#exitswitchA(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleswitchA#writeBuilding configuration.OK（2）配置标准访问控制列表switchB#conf tEnter configuration commands, one per line. End with CNTL/Z.switchB(config)#ip access-list standard test / 定义一个名称标准访问控制列表testswitchB(config-std-nacl)#deny host 192.168.200.2 / 第一条拒绝pc2数据源/ 第二条允许所有访问，因为默认最后一条为拒绝所有访问，/ 如果无此条，将拒绝所有访问switchB(config-std-nacl)#permit any switchB(config-std-nacl)#exitswitchB(config)#int f0/1switchB(config-if)#ip access-group test inswitchB(config-if)#endswitchB#01:04:22: %SYS-5-CONFIG_I: Configured from console by console（3）结果测试首先在pc1上执行ping命令，测试到pc2的连通性，请求数据包被ACL阻止，执行结果如下所示：Pc1#ping 192.168.200.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.200.2, timeout is 2 seconds:.Success rate is 0 percent (0/5)随后在pc1上执行ping命令测试到switchA的连通性，连通正常，结果如下所示：Pc1#ping 192.168.200.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms7.2 VPN技术与应用7.2.1 VPN的概念 VPN是英文Virtual Private Network的缩写，一般译为虚拟专用网络，或者虚拟专网。现已被人们作为一个专门的术语来接受。对于术语VPN指的是依靠服务提供商（ISP）和其它网络服务提供商，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。Internet工程任务组（Internet Engineer Task Force，IETF）草案将基于IP的VPN理解为：“使用IP机制仿真出一个私有的广域网”，它是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公共数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络，VPN示意图如图7.8所示。图7.8VPN示意图1. VPN的功能1)基于公钥基础设施（PKI）的用户版权体系2)身份验证和数据加密3)数据完整性保护4)提供访问控制2. VPN的分类1）按业务分类2）按VPN在网络中实现的位置分类 3. VPN的主要技术1）隧道技术2）密码技术3）身份认证技术4）密钥管理技术7.2.2 IPSec协议协议1. IPSec体系结构 IPSec（IP Security）是IETF IPSec工作组为了在IP层提供通信安全而制定的一套协议族。它包括安全协议部分和密钥协商部分，安全协议部分定义了对通信的安全保护机制；密钥协商部分定义了如何为安全协议协商保护参数，以及如何对通信实体的身份进行鉴别。 IPSec主要由认证头协议(AH)、封装安全载荷协议(ESP)和因特网密钥交换协议(IKE)三部分组成，各个协议之间的关系如图7.9所示。图7.9 IPSec体系结构AH为IP数据包提供无连接的数据完整性和数据源身份认证，同时具有抗重放攻击的能力。数据完整性校验通过消息认证码来保证，数据源身份认证通过在待认证数据中加入一个共享密钥来实现，AH报头中的序列号可以防止重放攻击。ESP为数据包提供保密性、完整性、数据源身份认证和抗重放攻击保护。其中数据的保密性是ESP的基本功能，而数据源身份认证、数据完整性以及抗重放攻击保护都是可选服务。解释域(DOI)将所有的IPSec协议捆绑在一起，是IPSec参数的重要数据库。密钥管理包括IKE协议和安全关联SA部分。IKE负责密钥协商，密钥管理以及在通信系统之间建立安全关联，是一个产生和交换密钥材料并协商IPSec参数的框架。IKE将密钥协商的结果保留在SA条目中，供AH和ESP以后通信使用。安全策略负责哪些通信数据允许加密和认证，其由访问控制列表控制。 2. 配置IPSec的相关概念 （1）数据流 一组具有相同源网络地址/掩码、目的网络地址/掩码和上层协议的数据集合称为数据流。通常采用一个扩展访问控制列表ACL来定义数据流，其中允许通过的所有报文在逻辑上作为一个数据流。注意，IPSec能够对不同的数据流施加不同的安全保护，也就是说对不同的数据流使用不同的安全协议、算法或密钥，因此可以在一个网关中定义多个ACL。 （2）变换集（Transform Set） 变换集为一组数据流安全参数的配置集合，包括SA使用的安全协议（AH或者ESP）、安全协议使用的算法（验证和加密算法）、安全协议对报文的封装形式（隧道模式或传送模式）。（3） 安全策略 一条安全策略由“名字”和“顺序号”标识。规定对一组数据流采用什么样的安全措施，安全策略的功能是通过调用变换集实现的。一条安全策略包含三部分内容：一条访问控制列表、一个可用的变换集和一对SA。（4）安全策略组（加密映像） 具有相同名字的安全策略构成安全策略组，其是与使用IPSec的接口一一对应的，从而实现在一个接口上同时应用一个安全策略组中的多个安全策略，实现对不同的数据流进行不同的安全保护。在一个安全策略组中，安全策略顺序号越小，其优先级越高。 一般情况下，一条数据流与一对SA相对应，一对SA又与一条安全策略相对应。一个安全策略组对应网关的一个接口，其中可以包含多条安全策略。在Cisco路由器中，安全策略组是通过加密映射命令crypto map命令来配置的，同一个安全策略组中的不同策略通过crypto map集中的不同编号项来表示，所以又将安全策略组称为加密映像。 例7.4 基于IPSec的VPN配置示例（网络拓扑如图7.12所示） 某公司总部的路由器设为RouterA，两个分部的路由器分别为RouterB和RouterC，三个部门均和互联网相连。图7.12 基于IPSec的VPN示例拓扑 本案例中，互联网采用路由器routerD代替，代替后的等效拓扑图如图7.13所示。由于业务安全需要，要求将三个部门之间建立不同的安全通道。每个安全通道要求进行数据加密和完整性验证，部门两两之间实现IPSec VPN的访问图7.13 基于IPSec的VPN等效拓扑图 步骤1：基本配置，其中routerA、routerB和routerC配置默认路由通往外部的internet，主要命令请参阅5.2节内容。 步骤2：配置IKE，包括启用IKE策略和验证配置。 因为公司三个分布的路由器需要建立VPN，所以需要六对SA，分别是routerArouterB（双向两对SA）、rouerArouerC（双向两对SA）、rouerBrouerC（双向两对SA）。其中SA的协商和建立是由IKE在isakmp体系框架内完成的。 激活路由器上的IKE协议。默认情况下，路由器上IKE是激活的。 routerA(config)# crypto isakmp enable routerB(config)# crypto isakmp enable routerC(config)# crypto isakmp enable 配置IKE参数在routerA上配置IKE参数，配置内容如下所示：/ 创建一个isakmp策略，每一个isakmp策略集合了IKE配置参数routerA (config)#crypto isakmp policy 100/ IKE报文加密形式为预共享密钥（其他形式不再讨论）routerA (config- isakmp)#authentication pre-share/ IKE报文加密算法为3des算法routerA (config- isakmp)#encryption 3des/ IKE报文认证为md5算法routerA (config- isakmp)#hash md5/ 密钥交换为Diffie-Hellman算法，group2代表该算法产生1024位素数，/ group1代表该算法产生768位素数routerA (config- isakmp)#group 2/ 在路由器上配置预共享密钥和SA对等体，每对对等体的密钥可以不同，本案例为cisco， routerA的SA对等体分别为routerB和routerCrouterA(config)#crypto isakmp key 0 cisco address 202.117.2.2routerA(config)#crypto isakmp key 0 cisco address 202.117.3.2由于routerA与routerB互为安全关联对等实体，所以routerB中的IKE配置参数必须和routerA中的一样，routerB的配置内容如下所示：/ 创建一个isakmp策略，策略编号每个路由器可以不同routerB(config)#crypto isakmp policy 100routerB(config-isakmp)#authentication pre-share routerB(config-isakmp)#encryption 3desrouterB(config-isakmp)#hash md5routerB(config-isakmp)#group 2routerB(config-isakmp)#exitrouterB(config)#crypto isakmp key 0 cisco address 202.117.1.2routerB(config)#crypto isakmp key 0 cisco address 202.117.3.2routerB(config)#exitrouterB#write*Jun 17 12:55:46.963: %SYS-5-CONFIG_I: Configured from console by consoleBuilding configuration.OK同理，routerC的IKE配置内容如下所示：routerC(config)#crypto isakmp policy 100routerC(config-isakmp)#authentication pre-share routerC(config-isakmp)#encryption 3desrouterC(config-isakmp)#hash md5routerC(config-isakmp)#group 2routerC(config-isakmp)#exitrouterC(config)#crypto isakmp key 0 cisco address 202.117.1.2routerC(config)#crypto isakmp key 0 cisco address 202.117.2.2 routerC(config)#exitrouterC#write步骤3：配置IPSecIKE建立的安全连接是为了进行IPSec安全关联的协商，必须正确配置VPN的IPSec参数才能保证VPN正常工作。IPSec配置内容包括创建加密用的访问控制列表、定义交换集，创建加密图（crypto map）条目，并且在接口上应用加密图。 配置加密用的ACL，加密ACL用来指定那些离开本地路由器时必须加密的流量。路由器只加密外出的ACL允许的流量。如果路由器收到对等体发来的应该加密而未加密的流量，数据将被丢弃。如果VPN正常工作，两个对等体站点的ACL允许的流量都会被加密。本案例中routerA应该对所连接的私有网络：192.168.1.0/24进行加密，同样，routerB和routerC也对所连接的私有网络进行加密，这就需要在三个路由中配置加密ACL。 routerA(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 routerA(config)# access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255routerB(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255routerB(config)#access-list 103 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255routerC(config)#access-list 103 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 routerC(config)#access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 在发起SA协商之前，两个对等端需要统一参数，变换集就规定了SA协商所需的参数。在routerA上配置IPSec的变换集，内容如下所示：routerA(config)#crypto ipsec transform-set setA-B esp-3des esp-md5-hmac routerA(cfg-crypto-trans)#mode tunnelrouterA(cfg-crypto-trans)#exitrouterA(config)#crypto ipsec transform-set setA-C esp-3des esp-md5-hmacrouterA(cfg-crypto-trans)#mode tunnelrouterA(cfg-crypto-trans)#exitrouterA(config)#crypto ipsec security-association lifetime seconds 1800/同理，在routerB和routerC上进行类似的变换集配置 创建并应用安全策略组。 安全策略组是通过加密映射crypto map命令实现的，安全策略组使本地的加密ACL生效，并且定义如何建立和维护IPSec SA。安全策略组中的每条安全策略都有一个序列号和名字，并且安全策略组需要在路由器接口上应用。 在RouterA上配置安全策略组，主要配置内容如下所示：routerA(config)#crypto map routerA-map 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.routerA(config-crypto-map)#match address 101routerA(config-crypto-map)#set peer 202.117.2.2routerA(config-crypto-map)#set transform-set setA-BrouterA(config-crypto-map)#exitrouterA(config)#crypto map routerA-map 20 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.routerA(config-crypto-map)#match address 102 routerA(config-crypto-map)#set transform-set setA-C routerA(config-crypto-map)#set peer 202.117.3.2 routerA(config-crypto-map)#exit/同理，routerB和routerC做出类似配置 将安全策略组应用到路由器相关接口routerA(config)#int s1/0routerA(config-if)#crypto map routerA-maprouterB(config)#int serial 1/1routerB(config-if)#crypto map routerB-maprouterC(config)#int s1/2routerC(config-if)#crypto map rouerC-map