配置CBAC，提升Cisco路由器安全5

配置CBAC，提升Cisco路由器安全5

(10).关闭低端口服务。对于IP可以输入“noservicetcp-small-servers”和“noserviceudp-small-servers”全局配置命令。在Cisco IOS版本12.0及后续版本中，这些服务缺省就是关闭的。

　　(11).通过在任何异步telnet端口上配置访问控制列表来防止防火墙被用作中继跳板。

　　(12).通常情况下，应该在防火墙和所有其他路由器上关闭对任何可应用协议的定向广播功能。对于IP协议，可使用no中“directed -broadcast”命令。在极少数情况下，有些IP网络确实需要定向广播功能，在这种情况下就不能关闭定向广播功能，定向广播可以被滥用来放大拒绝服务攻击的力量，因为每个Dos数据包都会被广播到同一子网的所有主机。另外，有些主机在处理广播时还存在有其他固有的安全风险。

　　(13).配置“noproxy -arp”命令来防止内部地址被暴露(如果没有配置NAT来防止内部地址被暴露的话，这么做是非常必要的)。

　　(14).将防火墙防在一个安全的区域内。

　　三、配置接口的技巧

　　1.配置外部接口的技巧

　　如果在外部接口上有一个对外方向的IP访问控制列表，则该访问控制列表就可以是一个标准的或扩展的访问控制列表。该外出方向的访问控制列表应该允许想让CBAC检查的数据流通过。如果数据流不被允许，它就不能被CBAC检查，就会被简单地丢弃。

　　在外部接口上的入方向访问控制列表必须是一个扩展的访问控制类表。该入方访问控制列表应该拒绝想要让CBAC检查的数据流。CBAC将在该人方向控制列表中产生适当的临时通口，只允许返回数据进入，这些数据流属于一个有效的已存在会话的一部分。

　　2.配置内部接口的技巧

　　如果在内部接口上有一个入方向的IP访问控制列表，或在外部接口上有一个对外出方向的IP访问控制列表，则这些访问控制列表可以是标准的或者扩展的访问控制类表。这些访问控制类表应该允许想让CBAC审查的数据流通过。如果数据流不被允许，它就不能被CBAC审查，就会被简单地丢弃掉。

　　在内部接口上的外出方向的IP访问控制列表和在外部接口上的入方向的访问控制列表必须是扩展的访问控制列表。这些访问控制列表应该拒绝想要让CBAC审查的数据流通过CBAC将在这些访问控制列表中产生适当的临时通道，只允许那些属于一个有效的、已存在会话的一部分的返回数据流进入。不需要在内部接口的外出方向和外部接口的入口向上都配置一个扩展访问控制列表，但至少需要配置一个，以限制数据流通过防火墙流进内部受保护的网络。

　　四、总结

　　只有连接的控制信道会被CBAC审查和监视，数据信道不会被审查。如在FTP会话中，控制信道(通常是TCP端口21)和数据信道(通常是TCP端口20)的状态变化都会被监视，但只有控制信道才会被审查。

　　CBAC审查识别控制信道中与应用具体相关的命令，并检测和防止某些应用层攻击，如SYN-flooding(SYN包风暴攻击)等。当网络攻击者想一台服务器发起了SYN包风暴攻击。大量的半开连接会淹没服务器，导致它拒绝正常的请求提供服务。无法访问网络设备的网络攻击被称为服务攻击(DoS)。

　　CBAC审查还在其它方面有助于防止拒绝服务攻击。CBAC检查TCP连接中的包序列号码是否在所期望的范围之内，并丢弃所有可疑的数据包。同时，也可以配置CBAC来丢弃半开连接，这需要占用防火墙的处理资源和内存资源来进行维护。另外，CBAC也可以检测不寻常的新连接建立速率，并发出告警消息。