中转访问控制列表在网络边缘执行过滤-Cisco.PDF

中转访问控制列表：在网络边缘执行过滤 目录 简介 中转过滤器 典型设置 中转 ACL 部分 如何开发中转 ACL 标识必需协议 标识无效数据流 应用 ACL ACL 示例 ACL 和分段数据包 风险评估 附录 常用协议和应用程序 部署指南 部署示例 相关信息 简介 本文提供了指南和建议的配置技巧，以便在您的网络入口点过滤传输和边缘数据流。传输访问控制 列表(ACL)通过明确地只允许要求的数据流通过您的网络，以增加网络的安全性。 中转过滤器 典型设置 在多数边缘网络环境中，例如在现存的典型的企业网络互联网点中，在网络边缘应使用入口过滤来 丢弃未授权的流量。在某些服务提供商配置中，边缘或转接流量过滤的表格还可以有效地使用来限 制流出/入用户的转接流量，仅供特别允许的协议使用。本文重点介绍企业部署模型。 此示例描述一个典型的企业 Internet 连接设计。两个边缘路由器（即 IR1 和 IR2）提供与 Internet 的直接连接。在这两个路由器后面，有一对防火墙(在本例中指Cisco PIX)提供状态检测功能和对内 部网络及非敏感区域(DMZ)的访问。DMZ 包含多种公用服务，如 DNS 和 Web；这是可从公用 Internet 直接访问的唯一网络。不应该直接通过互联网访问内部网络，但是来源于内部网络的数据 流一定能到达互联网网站。 应该配置边界路由器通过使用入站 ACL 提供第一个安全级别。ACL 只允许专门的数据流到达 DMZ，并允许返回内部用户访问互联网的数据流。应在输入接口上删除所有未经授权的数据流。 中转 ACL 部分 一般说来，中转 ACL 由四个部分组成。 拒绝非法来源和带源地址（属于您的网络，但来自外部源的输入网络）数据包的特殊使用地址 和反欺骗条目。注意： RFC 1918 定义 Internet 上作为无效源地址的保留地址空间。 RFC 3330 定义可能需要过滤的专用地址。 RFC 2827 提供反欺骗指南。 明确允许的流向 Internet 的内部连接返回数据流 明确允许的发往受保护的内部地址的外部源数据流 显式 deny 语句注意： 虽然所有 ACL 都包含隐式 deny 语句 ，但 Cisco 推荐使用显式 deny 语 句（如 deny ip any any）。在大多数平台上，这样的语句包括可以通过 show access-list 命令 显示的被弃数据包的数量。 如何开发中转 ACL 开发中转 ACL 的首要步骤是确定您的网络所需要的协议。虽然每个站点都具有特定需求，某些协议 和应用程序被广泛使用，并且是最常使用的。例如，如果 DMZ 分段提供可公开访问的 Web 服务器 的连接，那么端口 80 上必须提供 Internet 到 DMZ 服务器地址之间的 TCP。同样地，Internet 的内 部连接要求 ACL 允许已建立的返回 TCP 数据流 - 即设置了确认 (ACK) 位的数据流。 标识必需协议 制定此必需协议列表可能是一项非常艰巨的任务，但可以根据需要采用多种技术来帮助标识必需数 据流。 查看您的本地安全策略/服务策略。您的本地站点策略应当有助于提供所允许的服务和所拒绝的 服务的基线。 查看/审核您的防火墙配置。当前防火墙配置应包含所允许的服务的显式 permit 语句。在许多情 况下，您能将此配置转换为 ACL 格式，并使用它创建 ACL 条目容量。注意： 状态防火墙通常 没有到授权连接的返回数据流的明确规则。由于路由器 ACL 没有状态，因此必须明确允许返回 数据流。 查看/审核您的应用程序。在 DMZ 主机和那些内部使用的应用程序可帮助确定过滤需求。查看 应用程序需求，以便提供有关过滤设计的重要详细信息。 使用分类 ACL。分类ACL由供指定到内部网络的多种协议使用的许可语句组成。（请参阅附录 A 以获取常用协议和应用程序的列表。）请使用show access-list命令显示一计数访问控制项 (ACE)命中数识别需要的协议。在为意外协议创建显式 permit 语句之前，请调查并了解任何可 疑或意外结果。 使用 NetFlow 交换功能。Netflow 是一个交换功能，启用该功能可提供详细的流信息。如果在 边缘路由器上启用了 Netflow，show ip cache flow 命令将提供 Netflow 记录的协议的列表。 Netflow 不能识别所有协议，因此此技术必须与其它