信息安全笔记-防火墙ACL、AAA、SSH-

七彩网络

昔年博客
首页>> 系统安全 >>信息安全笔记-防火墙ACL、AAA、SSH
2019-12-16
分类: 系统安全

信息安全笔记-防火墙ACL、AAA、SSH

文章作者:本站整理
手机扫码查看

1、DMZ:隔离区、为公网提供服务提供服务 IDS:(入侵检测系统)对网络系统的运行状况按照一定的安全策略进行监视尽可能发现各种不同的攻击企图,一般部署在服务器区域的交换机上、Int......

1、DMZ:隔离区、为公网提供服务提供服务

IDS:(入侵检测系统)对网络系统的运行状况按照一定的安全策略进行监视尽可能发现各种不同的攻击企图,一般部署在服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上、以旁路模式的方式接入。

IPS:(入侵防御系统)可深度感知并检测流径的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行进行限流以保护网络带宽资源,以串联方式直接嵌入到网络流量中、包括异常检测和误用检测。

下列是关于SSH、密码、ACL、AAA的理论及部分配置情况

2、设置特权密码指令。

(1)密码设置要求:创建用户

username xxx password xxx

username xxx secret xxx

security passwords min-length 10 //设置端口密码长度(特权密码)

enable secret xxx

line vty 0 4 //进入vty模式下

password xxx

login

(2)密码安全设置(md5)

service password-encryption

(3)阻塞登陆的block-for命令

login block-for 120 attempts 5 within 60

3.配置SSH指令

更改主机名字hostname r1

(1)ip domain-name xxx配置网络的ip域名

(2)cryto key generate rsa general-keys modulus 1024 产生单向秘钥

(3)username xxx(用户名)secret xxxx密码

验证或创建一个本地用户名数据库入口

(4)line vty 0 4

login local

transport input ssh

启用vty入向的ssh会话

(5)登陆ssh

ssh -l 用户名 地址

(6)特权cli命令

privilege mode ….

(7)系统日志

logging host xxxx(192.168.1.1)

(8)使用ntp

ntp master

ntp server xxx //(192.168.1.1)

ntpuodate-calender //配置路由器并更新时钟

service timetamps log datetimemsec //配置时间标记服务

4.认证、授权、记账

(1)AAA接入方法:字符模式、包模式

(2)基于本地认证

username zxp sercet xxx

aaa new-model

aaa authentication login default local-case enable

aaa local authentication attempts max-fail 10

查看状态:show aaa local user lockout

解锁:

aaa local user lockout xxx(用户名)

aaa local user lockout all

(3)基于服务器cli

tacacs-server host 192.168.2.2

tacacs-server key tacacspa55

(服务器登陆路由器的密码为tacacspa55)

aaa new-model

aaa authentication login default (group tacacs+ )group radius local

line console 0

login authentication default

5.防火墙

(1)访问控制列表acl:标准acl靠近目的端口

acl(1-99,1300-1999)扩展acl(100-199,2000-2699)

(2)标准acl

access-list 1-99 permit/deny 地址

(3.)扩展acl 靠近源端口

access-list 100-199 permit/deny protocol 源(地址 掩码 协议类型 )目的(地址 掩码 协议类型 )eq 20/21(协议类型)

(4)命名ip acl 标准acl

信息安全笔记-防火墙ACL、AAA、SSH

ip access-list standard 名字

remark permit only admin host(注释)

permint host 192.168.1.10

line vty 0 4

password 123

enable password 123

login

access-class 名字 in //(in 查路由表之前,out 查路由表后)

(5)扩展acl

信息安全笔记-防火墙ACL、AAA、SSH

ip access-list extanded acl-1

remark lan acl

deny ip host 192.168.1.6 any

permit tcp 192.168.1.0 0.0.0.255 any established(已存在的主机)

(6)应用到接口:

硬件接口:(config-if )#ip access-group 名字 in/out

line接口:(config-line)#line vty 0 4

ip access-class 名字 in/out

(7)自反ACL

只能对tcp协议有效,对udp、icmp无效

ip access-list extended in-to-out

permit ip any any reflect ip-out timeout 120

evaluate ip-out

int f1/1

ip access-group in-to-out out

(8)动态acl

username zhangsan password 123

access-list 101 permit tcp any host 20.20.20.1 eq 23

accesss-list 101 dyname cisco timeout 60 permit ip any host 10.10.10.10

line vty 0 4

login local

autocomand access-enable host timeout 5

仅支持ip协议,依赖于telnet连接、验证和扩展acl

结果是192.168.10.10ping10.2.2.2ping不到,只能telnet到

信息安全笔记-防火墙ACL、AAA、SSH
信息安全笔记-防火墙ACL、AAA、SSH

(9)基于时间的ACL

信息安全笔记-防火墙ACL、AAA、SSH

(10)防火墙类型:包过滤防火墙、状态防火墙

基于上下文的访问控制CBAC

CBAC特性:流量过滤,流量检查,入侵检测,产生警告和审计消息

信息安全笔记-防火墙ACL、AAA、SSH

配置CBAC:

a:选择一个接口

b在接口配置ACL:

信息安全笔记-防火墙ACL、AAA、SSH

c:定义检查规则

d:应用到一个检查接口

信息安全笔记-防火墙ACL、AAA、SSH

6.区域策略防火墙

一步:创建区域防火墙

zone security in-zone

zone security out-zone

二步:定义流量级别和访问列表

access-list 101 permit ip 192.168.3.0 0.0.0.255 any

class-map type inspect match-all in-net-class-map

match access-group 101

三步:指定防火墙策略

policy-map type inspect in-2-out-pamp

class type inspect in-net-class-map

四步:应用防火墙策略

zone-pair security in-2-out-zpair

source in-zone destination out-zone

service-policy type inspect in-2-out-pmap

五步:定义出口入口区域

interface f0/0

zone-member security in-zone

zone-member security out-zone

7.二层安全、内网安全

信息安全笔记-防火墙ACL、AAA、SSH

8.vpn 虚拟的私有网络 第三层

a.站点到站点vpn

b.远程访问vpn

c.认证-预共享密钥psk

d.认证-rsa签名

公钥-加密,私钥-解密;公钥-解密,私钥-加密

解密签名的公共加密密钥包含在数字签名中

9.ipsec

(1)ipsec认证头:AH,ESP

AH:为 IP 数据报提供无连接完整性与数据源认证,并提供保护以避免重播情况

ESP:加密提供机密性,认证提供完整性

(2)ipsec的模式:传输模式,隧道模式

传输模式:对数据加密,报文格式不变

隧道模式:头部和数据全部改变

7.因特网密钥交换(IKE)

阶段1:主模式

DES:加密

SHA或MD5:完整性


×

感谢您的支持,我们会一直保持!

扫码支持
请土豪扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

打赏作者
版权所有,转载注意明处:昔年博客 » 信息安全笔记-防火墙ACL、AAA、SSH
分享本文至:
点击评论 您阅读这篇文章共花了: 

发表评论

路人甲 表情
Ctrl+Enter快速提交

网友评论(0)