win7系統(tǒng)下載
當(dāng)前位置: 首頁(yè) > 網(wǎng)絡(luò)技術(shù)教程 > 詳細(xì)頁(yè)面

小心安全設(shè)置讓ACL形同虛設(shè)

發(fā)布時(shí)間:2022-05-30 文章來(lái)源:深度系統(tǒng)下載 瀏覽:

網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。

大家都知道通過(guò)在路由器或交換機(jī)上設(shè)置訪問控制列表ACL,可以在一定程度上起到提高安全,防范黑客與病毒攻擊的效果,筆者所在公司也一直在使用這個(gè)方法。

然而,筆者卻在實(shí)際工作中發(fā)現(xiàn)了一個(gè)影響安全的問題,如果對(duì)路由器的默認(rèn)設(shè)置不注意的話,很可能會(huì)讓強(qiáng)大的ACL列表失效,就好比二戰(zhàn)的馬其諾防線一樣,病毒與黑客可以非常輕松地繞道攻擊內(nèi)網(wǎng)計(jì)算機(jī)。

安全分析:

有過(guò)路由器配置經(jīng)驗(yàn)的讀者應(yīng)該知道網(wǎng)絡(luò)管理員經(jīng)常通過(guò)在路由器或交換機(jī)上設(shè)置訪問控制列表來(lái)完成防范病毒和黑客的作用。Cisco出品的路由器或交換機(jī)的訪問控制列表都默認(rèn)在結(jié)尾添加了“DENY ANY ANY”語(yǔ)句,這句話的意思是將所有不符合訪問控制列表(ACL)語(yǔ)句設(shè)定規(guī)則的數(shù)據(jù)包丟棄。

最近筆者所在公司添置了華為的2621系列路由器,一般情況下CISCO和華為設(shè)備的配置方法基本相同,所以筆者按照在Cisco路由器上的設(shè)置語(yǔ)句制定了ACL規(guī)則,并將這些規(guī)則輸入到華為路由器上。由于CISCO默認(rèn)自動(dòng)添加DENY ANY ANY語(yǔ)句,所以筆者也想當(dāng)然的認(rèn)為華為路由器也會(huì)默認(rèn)將這個(gè)命令添加。然而,在配置后卻發(fā)現(xiàn)所有ACL過(guò)濾規(guī)則都沒有生效,該過(guò)濾的數(shù)據(jù)包仍然被路由器正常轉(zhuǎn)發(fā)。

經(jīng)過(guò)反復(fù)研究、查詢資料,筆者發(fā)現(xiàn)原來(lái)華為公司的訪問控制列表在結(jié)尾處添加的是“PERMIT ANY ANY”語(yǔ)句,這樣對(duì)于不符合訪問控制列表(ACL)語(yǔ)句設(shè)定規(guī)則的數(shù)據(jù)包將容許通過(guò),這樣造成了一個(gè)嚴(yán)重后果,那就是不符合ACL設(shè)定規(guī)則的數(shù)據(jù)包也將被路由器無(wú)條件轉(zhuǎn)發(fā)而不是Cisco公司采用的丟棄處理,這造成了該過(guò)濾的數(shù)據(jù)包沒有被過(guò)濾,網(wǎng)內(nèi)安全岌岌可危。非法數(shù)據(jù)包繞過(guò)了網(wǎng)絡(luò)管理員精心設(shè)置的防病毒“馬其諾防線”,從而輕而易舉的侵入了用戶的內(nèi)網(wǎng)。

解決措施:

如何解決這個(gè)問題呢?這個(gè)問題是因?yàn)槿A為路由器的默認(rèn)設(shè)置造成的。我們可以在ACL的最后添加上“DENY ANY ANY”語(yǔ)句或?qū)⒛J(rèn)的ACL結(jié)尾語(yǔ)句設(shè)置為DENY ANY ANY.頭一種方法僅僅對(duì)當(dāng)前設(shè)置的ACL生效,以后設(shè)置新ACL時(shí)路由器還是默認(rèn)容許所有數(shù)據(jù)包通過(guò);而第二種方法則將修改路由器的默認(rèn)值,將其修改成和CISCO設(shè)備一樣的默認(rèn)阻止所有數(shù)據(jù)包。

1、ACL規(guī)則直接添加法

在華為設(shè)備上設(shè)置完所有ACL語(yǔ)句后再使用“rule deny ip source any destination any”將沒有符合規(guī)則的數(shù)據(jù)包實(shí)施丟棄處理。

2.修改默認(rèn)設(shè)置法

在華為設(shè)備上使用“firewall default deny”,將默認(rèn)設(shè)置從容許轉(zhuǎn)發(fā)變?yōu)閬G棄數(shù)據(jù)包。從而一勞百逸的解決默認(rèn)漏洞問題。因此筆者推薦大家使用第二種方法解決這個(gè)默認(rèn)設(shè)置的缺陷問題。

總結(jié):

經(jīng)過(guò)這次“馬其諾”事件,我們可以發(fā)現(xiàn)即使是相同的配置命令,如果廠商不同最好事先查閱一下用戶手冊(cè)(特別注意默認(rèn)設(shè)置),往往默認(rèn)設(shè)置會(huì)造成很多不明不白的故障。發(fā)現(xiàn)問題以后也不要輕易懷疑設(shè)備硬件有問題,應(yīng)該多從軟件及配置命令入手查找問題所在。一個(gè)小小的默認(rèn)設(shè)置就將精心打造的防病毒體系完全突破,所以對(duì)于我們這些網(wǎng)絡(luò)管理員來(lái)說(shuō)每次設(shè)置后都應(yīng)該仔細(xì)測(cè)試下網(wǎng)絡(luò)狀況,確保所實(shí)施的手段得以生效。

【相關(guān)文章】

  • 專題:訪問控制列表(ACL)介紹
  • 交換機(jī)策略路由配置的應(yīng)用
  • 路由器常用ACL和一些簡(jiǎn)單防護(hù)


    網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。

    本文章關(guān)鍵詞: ACL 訪問控制列表 路由器 

    上一篇:ACL筆記