网络安全--边界安全(1)

网络安全--边界安全(1)

现在人们生活依赖互联网程度越来越高,网络安全也逐步进入人们日常视野,信用卡信息泄漏、开房记录被查询、商业机密泄漏等等;无不牵动着一个人、一个公司、甚至一个国家的神经。随着技术的发展,网络边界变得也越来越复杂,比如web应用、无线接入、DCI、VPN等技术的应用,导致网络边界变的好像很庞杂,无从下手;但是无论是对边界进行分层加固,还是加强对各个网络入口的安全审计,亦或是对使用人员进行安全培训;都必须对各自网络心中有数。网络边界设备一般是路由器、交换机或者防火墙。

边界安全—ACL

路由器或者交换机作为边界时,基本上都配置了访问控制列表ACL,像银行等有些地方ACL的数量可能非常庞大,达到了几千条甚至更多,边界使用较多的设备一般为:Nexus7K、cisco7600、Cisco6500、huawei 9300、huwei CloudEngine等,下面将以cisco为例介绍边界重要的安全措施ACL。

ACL应用情形:

1、  控制邻居设备间的路由信息。

2、  控制穿越设备的流量网络访问。

3、  控制console、VTY访问。

4、  定义IPsec VPN等的感兴趣流。

5、  实施QoS等其他特性。

ACl配置

1、  创建一个ACL

2、  将ACL应用到一个接口中。

ACl类型

1、  标准ACL。编号1~99,只能过滤源IP数据包。

2、  扩展ACL。编号100~199,可以基于源IP、目的IP、协议、端口、flag等进行流量过滤。

3、  命名ACL。可以应用在标准和扩展ACL上,用名字代替数字,方便配置管理,使用较多。

4、  分类ACL。一般用于DoS等安全鉴别。

5、  其他很少用的ACL类型。动态ACL、自反ACL、time ACL、调试ACL等。

ACL实施准则

1、  ACL可以在多个接口同时使用(复用)。

2、  同一接口只能对同一协议使用一个ACL,例如一个出站ACL、一个入站ACL。针对不同协议,一个接口上可以应用多与两个ACL。

3、  ACL匹配顺序处理,精确的放在前面。

4、  始终要遵循先创建ACL,然后在应用到接口上;修改时就要先移除acl,修改完成后,在应用到接口。

5、  应用到路由器的出站ACL只检查通过路由器的流量,就是说不会检查自身产生的流量。

6、  对于标准ACL,应该应用在流量传输离目的地最近的位置,对于扩展ACL应用在离源最近的位置。

ACL应用举例

1、  假如一个数据中心的边界是一台交换机,内部仅提供Web,DNS应用,为安全考虑实施ACL控制。

Ipaccess test-sample

Deny ip 10.0.0.0/8 any      ------拒绝RFC1918地址

Deny ip 172.16.0.0/21 any

Deny ip 192.168.0.0/16 any

Permit tcp any 1.1.1.2/32 eq www  -------开放web tcp的80端口

Permit udp any 1.1.1.3/32 eq 53     --------开放DNS udp 的53端口

然后把该acl应用到连接出口的in方向即可。

2、  假如该数据中心服务器正在遭受攻击,由于没有其他防护检测设备,使用acl进行排查。

access-list 169 permit icmp any any echo

access-list 169 permit icmp any anyecho-reply

access-list 169 permit udp any any eq echo

access-list 169 permit udp any eq echo any

access-list 169 permit tcp any anyestablished

access-list 169 permit tcp any any

access-list 169 permit ip any any

然后把接口应用到出口的in方向,然后通过showip access-list查看匹配数目,最后在匹配数据较大的acl条目上使用log-input,接下来看日志就可以发现攻击源IP了。(在Nexus交换机上需要添加statistics per-entry才可以进行acl匹配计数)。

网络安全--边界安全(1),布布扣,bubuko.com

时间: 2024-10-12 13:07:01

网络安全--边界安全(1)的相关文章

网络安全--边界安全-防火墙(2)

随着安全技术的发展,无论是黑客的攻击能力,还是安全人员的防御技术都上升到了一个新的层次,而且安全威胁越来越大,越来越隐蔽,本篇就边界安全另一利器----防火墙进行讲述.见到过不少厂家的防火墙设备,有些造型非常漂亮,和艺术品差不多^_^,美观的外形里面,却包含了强大.智能的内心,24小时待命,保护网络信息财产等安全. 防火墙分类有软件.硬件防火墙,有桌面防火墙,也有网络防火墙,还有针对具体应用的web/mail防火墙,也有DDoS防火墙等等:本篇就讲述下IDC机房常用的一类防火墙,比如cisco

AIRTIGHT MOBILE 无控制器架构企业无线网络安全解决方案

AIRTIGHT MOBILE 越来越多的企业都依赖于移动办公,这些员工需要保持与企业的连接,无论是他们在路上.酒店.机场.餐厅.咖啡厅.在家中.或在远程办公室.伴随着带上你自己的设备(BYOD)文化,员工越来越多地利用企业和个人设备-笔记本电脑.智能手机.和平板电脑.由于这些移动设备在企业场所进进出出,他们连接到多个已知的或可信或不可信的网络,为了避免这些设备受到攻击,无论他们身在何处,企业的网络安全边界必须与这些设备一起移动. 移动安全周界 AirTight Moblie将会给你一个"Alw

AIRTIGHT WIPS 无控制器架构企业无线网络安全解决方案

AIRTIGHT WIPS 无线局域网(WLAN)的基础架构攻击,是当前企业网络中最重要和最直接的威胁之一.更糟糕的是,个人智能手机和平板的Wi-Fi需求像洪水一样冲击着企业,这在无意中侵犯了网络安全边界,并且也使那些没有部署无线的组织面临着风险.AirTight WIPS为企业提供着持续且全面的保护,防止当前和新兴的无线威胁. Gartner评测为"Strong Positive" AirTight一直被评为业界最佳的无线入侵防御系统(WIPS),在Gartner每年的无线局域网IP

中国互联网安全大会会议感受与思考

中国互联网安全大会 由360公司与中国互联网协会网络与信息安全工作委员会主办,为期两天,涉及移动终端.Web网络.存储.工控.APT等方面的安全技术及产品分享会,会议不乏产品广告,但本次会议也确实对各个管理机构.厂家及创业公司的标准.先进技术和产品有了一定了解,对本人触动很大,也坚定了我在网络及网络安全领域前行的决心,本次除常规会议外,本人重点听了一下移动安全和APT威胁防御论坛,以下是一些心得体会,供大家参考并引发思考共鸣,部份内容来自于会议专家的介绍在此引用,特此声明,由于能力有限部分内容无

二、三级等保建议安全设备及其主要依据(毫无保留版)

二级等保 序号 建议功能或模块 建议方案或产品 重要程度 主要依据 备注 安全层面 二级分项 二级测评指标 权重 1 边界防火墙 非常重要 网络安全 访问控制(G2) a)应在网络边界部署访问控制设备,启用访问控制功能: 1 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级. 1 2 入侵检测系统     (模块) 非常重要 网络安全 入侵防范(G2) 应在网络边界处监视以下攻击行为:端口扫描.强力攻击.木马后门攻击.拒绝服务攻击.缓冲区溢出攻击.IP碎片攻击和网

云计算教程学习入门视频课件:云服务有多安全?

云服务管理是指云服务提供商必须履行的一套流程和任务,以便圆满地把云服务交付给消费者.云计算能节约成本,快速满足用户对资源的弹性需求,这使得一些潜在的云服务消费者有兴趣把计算迁入云端.然而,这些潜在的云服务消费者能否变成真实的云服务消费者,在很大程度上依赖于云服务提供者如何对待用户关心的安全.可移植性和互操作性问题. 关于可移植性,潜在的消费者非常想知道他们是否能够以较低的成本和最小的中断时间在多个云端之间迁移数据或应用程序.而对于互操作性,用户关心在两个或多个云端之间的互通能力. 为了便于用户进

网络安全求职指南

作者:陈鑫杰 概述 之前的文章给大家分析了安全行业目前的发展趋势.安全防御和渗透攻击两端不同的技术栈需求.在这篇文章里面,我们聚焦以下常见的安全行业求职和职业发展问题: 安全行业如何区分?安全岗位到底有哪些?不同安全岗位的技术需求和岗位职责有什么区别?适合我们的安全岗位又有哪些?有哪些公司在招聘安全人才?安全企业的排名情况大体是怎样的?XXX公司好,还是YYY安全好?安全行业的薪酬标准是如何的? 安全行业大而杂,个人能力有限,尽所能将2013年到2017年拼客发展的这4年时间中,不同企业在这边招

威胁驱动的网络安全方法论

声明:本文主要内容取自洛克希德·马丁公司的论文——A Threat-Driven Approach to Cyber Security,鉴于原论文篇幅较长只提取了其中部分内容,想要全面准确了解论文内容的朋友建议去阅读原文.笔者翻译这部分内容,希望能够抛砖引玉,为相关领域的相关工作人员带来一点不同的思路或启发,从而更好地维护企业/组织的网络安全.欢迎交流与指正,转载请联系[email protected]. 安全界早已有'未知攻,焉知防'的说法,但如果我们对于攻防存在不正确的认知,就很难理解如何做

AirTight C-60 AP 无控制器架构企业无线网络安全解决方案

AirTight C-60 AP 802.11n,双频并发3x3:3 Wi-Fi访问和 7x24小时无线入侵防御-行业排名第一 关键特性 可通过软件配置的双 band双并发 radios. 3x3:3  802.11n(单个radio支持 450Mbps)符合802.3af标准 POE供电. WPA/WPA2 PSK 和802.1x认证. 每个 AP支持多BSSIDs和 VLANs 集成防火墙流量整形QoS 和 BYOD 控制. 基于强制门户和walled garden 的多客户访问选项. Wi