好网吧 好网络
    ——华为3COM网吧网络解决方案之网关配置指导——   
华为三康技术有限公司
Huawei-3Com Technologies Co., Ltd.
   
第一部分 配置原则概述
随着网络建设和应用的不断深入,网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置可以控制和管理网络的流量,能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠性。
由于网吧上网人员数量多、构成复杂、流动性大,因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒,同时也很容易被用
来发起网络攻击,或者被他人攻击,这就对网吧中的核心设备――网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项,同时给出了各种组网情况下的典型配置。
1 需要注意的配置事项
1.1 配置ACL对非法报文进行过滤
ACL 是每个安全策略的组成部份,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。
1.1.1 进行源IP和目的IP过滤
至少应该在所有的接口上对入方向的报文进行过滤。RFC2827/BCP 38 (Best Current Practice ) 中高度建议使用入口过滤,这不仅可以使你的网络安全,而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份,在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必
须使用真实的源IP地址。
例如:
假设局域网接口的IP地址为192.168.1.0/24,广域网接口的IP地址为162.1.1.0/30,在局域网接口可以设置:
acl number 3003
rule 2000 permit ip source 192.168.1.0 0.0.0.255
rule 3000 deny ip 
在广域网接口可以设置:
acl number 3001
rule 2000 permit ip destination 162.1.1.0 0.0.0.3
rule 2001 permit ip destination 192.168.1.0 0.0.0.255
rule 3000 deny ip 
在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。
例如:
#
acl number 3011
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 206 permit tcp destination-port eq telnet
rule 3000 deny ip
#               
interface Ethernet1/0
ip address 172.30.79.6 255.255.255.252
firewall packet-filter 3011 inbound
firewall aspf 1 outbound
#     
注意事项:由于目前ASPF对内存和性能的影响较大,网吧应用环境中不建议在AR18系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF
1.1.2 限制ICMP报文
ICMP 报文是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP报文作为攻击手段。但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。因此,实际上我们可以仅允许ICMP 的ping echo 和 ping reply 及traceroute 所需要的TTL 开放。其它的均可以关闭。
例如:
acl number 3001
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp               
1.1.3 限制netbios协议端口
在现今的网络上,充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描,UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下,进入到路由器的137和138包是广播包,而路由器在默认情况下是不转发这些广播包的。但在某些情况下,一些扫描工具扫描UDP 137 和UDP138的端口,以图出主机上的共享文件夹。这种情况下,进入路由器的数据包会是unicast的137和138,而且通常目的地址不停变化。因此我们
可以将这些UDP 138和138的数据包通过ACL 挡断。保护用户和网络的安全。
例如:
acl number 3001
rule 31 deny udp destination-port eq netbios-ns
rule 41 deny udp destination-port eq netbios-dgm
rule 51 deny udp destination-port eq netbios-ssn   
1.1.4 限制常见病毒使用的端口
一般网吧中存在大量的“冲击波”、“震荡波”等病毒,这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据,这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中发现56%的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口,比如cipher命令TCP/135TCP/4444UDP/1434TCP/5554TCP/9996等,通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。
例如:
acl number 3001
rule 10 deny tcp destination-port eq 445      / Worm.Blaster

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。