基础架构保护.PDF

保护您的核心：基础设施保护访问控制列表 目录 简介 基础架构保护 背景 技术 ACL 示例 开发保护 ACL ACL 和分段数据包 风险评估 附录 Cisco IOS 软件中支持的 IP 协议 部署指南 部署示例 相关信息 简介 本文为基础设施保护访问控制列表 (ACL) 提供指南和建议部署技术。基础设施ACL能够最小化直接 基础设施攻击的风险和影响，通过只允许授权数据流传输到基础设施设备，并拒绝其他中转流量。 基础架构保护 背景 要防止路由器受到各种风险威胁（偶然和恶意威胁），基础设施保护ACL必须部署在网络入口点。 这些 IPv4 和 IPv6 ACL 拒绝从外部源访问所有基础设施地址，例如路由器接口。同时，ACL允许常 规传输流量流不间断，提供基本的RFC 1918、RFC 3330和反欺骗过滤。 路由器接收的数据可以分为两大类： 经由转发路径通过路由器的数据流 要通过接收路径发往路由器以供路由处理器处理的数据流 在正常运行中，大部分数据流简单地流经路由器，最后到达最后的目的地。 但是，路由处理器 (RP) 必须直接处理某些类型的数据，主要包括路由协议、远程路由器访问（如 安全壳 [SSH]）和网络管理数据流（例如简单网络管理协议 (SNMP)）。此外，诸如 Internet 控制 消息协议 (ICMP) 的协议和 IP 选项可以要求直接由 RP 进行处理。通常，只有内部源中需要直接基 础设施路由器访问。值得注意的几个例外包括：外部边界网关协议 (BGP) 对等体、在实际路由器上 终止的协议（例如通用路由封装 [GRE] 或 IPv6 over IPv4 隧道）、用于连接测试的潜在有限 ICMP 数据包（例如响应请求或不可达 ICMP）和用于追踪路由的存活时间 (TTL) 到期消息。 注意： 请记住，ICMP 经常用于简单拒绝服务(DoS) 攻击，应只允许在必要时从外部源使用。 所有 RP 都有供其在其中运行的性能信封。发往 RP 的过量数据流可能会使路由器过载。导致高 CPU 使用，最终导致服务拒绝引起的数据包和路由协议丢弃。通过从外部源过滤对基础设施路由器 的访问，将减少与直接路由器攻击相关的许多外部风险。来自外部源的攻击无法再访问基础设施设 备。该攻击会在进入自治系统 (AS) 的输入接口上中断。 本文描述的过滤技术打算过滤指定到网络基础设施设备的数据。请勿将基础设施过滤与普通过滤混 淆。基础设施保护 ACL 的唯一目的是限制协议和源可以访问关键基础设施设备的粒度级别。 网络基础设施设备包含以下区域： 所有路由器和交换机管理地址，包括环回接口 所有内部链接地址：路由器到路由器链接（点对点和多路访问） 不应从外部源访问的内部服务器或服务 在本文中，没有指定基础设施的所有流量，通常是指中转流量。 技术 可通过多种技术来实现基础设施保护： 接收 ACL (rACL)Cisco 12000及7500支持过滤所有指定到RP的数据流的rACL，不会影响转接 流量。必须明确地允许被授权的数据流，并且每个路由器必须配置rACL。请参阅 GSR：有关 详细信息，请访问接收访问控制列表。 逐跳路由器 ACL通过定义只允许传向路由器接口的授权流量的 ACL，拒绝转接流量以外的其他 所有流量（必须明确允许），也可以保护路由器。此 ACL 在逻辑上与 rACL 类似，但不影响转 接流量，因此可能对路由器的转发速率有负面影响。 通过基础设施 ACL 执行的边缘过滤ACL 可以应用于网络的边缘。对于服务提供商 (SP) 而言 ，这是 AS 的边缘。此 ACL 可显式过滤发往基础设施地址空间的流量。边缘基础设施ACL的部 署，要求您清楚地定义您的基础设施空间和访问此空间的要求/授权协议。ACL 应用到所有外部 面对连接上的通往您网络的接口（例如对等体连接、客户连接等）。本文档重点讨论边缘基础 设施保护 ACL 的开发和部署。 ACL 示例 以下 IPv4 和 IPv6 访问列表提供保护 ACL 所需的典型条目的简单而实际的示例。需要使用特定于 本地站点的配置详细信息自定义这些基本 ACL。在双重 IPv4 和 IPv6 环境中，需要部署这两个访问 列表。 IPv4 示例 ! Anti-spoofing entries are shown here. ! Deny special-use address sources. ! Refer to RFC 3330 for addition