HTML CSS JAVASCRIPT PYTHON PYTHON2 JAVA C C++ C# SQL Excel Linux AI BOOTSTRAP PHP 教程库 参考手册 技术文章 测验 练习 HOWTO FAQ
❮ 上一节 下一节 ❯

CISCO - 安全功能 (ACL、VPN)

Cisco 提供不同的安全工具用于网络保护和访问管理。ACL 和 VPN 是两个突出的例子。

1. 访问控制列表 (ACL)

在具有许多网络设备的网络环境中,会发生大量传入和传出数据流量。这会导致带宽限制,从而影响关键数据的传输。要控制这种情况,您必须首先使用流量监控工具识别消耗最多带宽的网络设备。识别设备后,您可以将访问控制列表 (ACL) 策略应用于网络设备,以在传输过程中建立数据优先级。网络配置管理器非常有用,因为它允许您通过批量执行配置文件一次将 ACL 策略应用于多个设备。

ACL 是在路由器和防火墙等网络设备上配置的规则和规定,用于限制传入和传出的网络流量。它们充当过滤器,允许或拒绝基于 IP 地址、协议或端口的通信。 ACL 通过根据源和目标 IP 地址、端口、协议和其他标准授予或拒绝访问权限来控制网络流量。ACL 由访问控制条目 (ACE) 组成,这些条目描述是否允许或拒绝数据包。Cisco 中一些常见的 ACL 类型如下 −

  • 标准 ACL − 这些 ACL 仅根据源 IP 地址过滤流量,并且通常在目的地附近使用以限制网络访问。它们通常用于目的地以控制哪些设备可以访问网络的特定部分。标准 ACL 的编号介于 1-99 和 1300-1999 之间。
  • 扩展 ACL − 扩展 ACL 根据源和目标 IP 地址、协议(如 TCP、UDP 和 ICMP)、端口号和专用应用程序协议过滤流量。它们通常在更靠近源的地方使用以防止过多的网络流量。扩展 ACL 的编号介于 100-1992000-2699 之间。
  • 命名 ACL − 命名 ACL 具有描述性名称,这使得它们更易于维护和理解,尤其是在复杂的网络中。命名 ACL 既支持常规过滤,也支持扩展过滤。它们允许在不消除整个 ACL 的情况下进行更新,使其更能适应法规的变化。它们具有描述性名称而不是数字,使得它们在复杂配置中更易于管理和理解。
  • 动态 ACL(锁和密钥 ACL) − 动态 ACL 允许用户在成功进行身份验证后获得网络访问权限,从而在 ACL 中产生动态条目。它通常通过 Telnet 或 SSH 进行身份验证,并且需要与 AAA(身份验证、授权和记帐)服务集成。
  • 自反 ACL − 自反 ACL 通过根据外向流量生成临时 ACL 条目并仅允许有效的返回流量来提供状态数据包过滤。它广泛用于边界安全,允许出站会话的返回流量,但阻止进入的流量,除非它是现有连接的一部分。
  • IPv6 ACL − Cisco 还为 IPv6 流量提供 ACL,这些 ACL 为 IPv6 特定的标头和协议提供过滤。IPv6 ACL 提供与 IPv4 ACL 类似的过滤,包括源/目标 IP、协议和端口,但专门设计用于处理 IPv6 地址和功能。
  • VLAN ACL (VACL) − VACL 允许在交换机上的 VLAN 内进行过滤,从而规范同一 VLAN 上设备之间的访问。它主要用于网络分段以管理 VLAN 内流量。VACL 适用于 VLAN 内的所有流量,而不仅仅是基于路由的 ACL。
  • 端口 ACL − PACL 直接应用于第 2 层交换机端口,以根据第 3 层地址或第 2 层属性过滤流量。它对于保护单个交换机端口或跨网络段实施安全策略非常有用。PACL 主要用于 Cisco 交换机,以提供对端口级流量的细粒度控制。

CISCO 的访问控制列表安全功能

一些常见的 CISCO VPN 安全功能如下 −

  • 按源 IP 过滤 − 标准 ACL 仅根据数据包的源 IP 地址控制访问。它们配置简单,通常用于授予或限制对指定子网或 IP 地址的访问。
  • 精细过滤选项 − 扩展 ACL 通过根据源和目标 IP 地址、协议类型、端口号甚至单个应用程序进行过滤,实现更精确的控制。
  • 使用名称轻松管理 − 命名 ACL 使用描述性名称而不是数字,这使得管理更容易,尤其是在复杂的安装中。
  • 身份验证集成 − 经常与 AAA(身份验证、授权和记帐)一起使用,在授予临时访问权限之前对用户进行身份验证。
  • 状态过滤 −反射式 ACL 提供状态检查,只允许在已建立的会话期间返回流量,这意味着它们监视出站活动并构建临时条目以允许返回流量。
  • VLAN 内过滤 − VLAN ACL (VACL) 用于交换机上过滤 VLAN 内的流量,使管理员能够控制不离开 VLAN 但在同一 VLAN 上的设备之间流动的通信。
  • 端口特定过滤 − 端口 ACL (PACL) 应用于特定的第 2 层交换机端口,以根据第 3 层地址(IP 地址)或第 2 层地址过滤流量。
  • 保护控制平面 −控制平面策略使用 ACL 来保护网络设备的控制平面,从而防止可能压垮路由器 CPU 的拒绝服务 (DoS) 攻击。

如何在 Cisco 路由上配置访问控制列表 (ACL)?

在 Cisco 路由器上配置访问控制列表 (ACL)涉及一些步骤;这些步骤如下 −

步骤 1:访问路由器的配置模式

登录路由器,然后进入全局配置模式 −

Router> enable
Router# configure terminal

步骤 2:确定 ACL 类型(标准或扩展)

标准 ACL −要创建标准 ACL,请使用编号或命名 ACL

Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255

扩展 ACL − 对于扩展 ACL,请使用更具体的标准 −

Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.10.10.0 0.0.0.255 eq 80

2. 虚拟专用网络 (VPN)

VPN 在公共网络上构建安全隧道,允许数据安全地从一个网络传输到另一个网络。思科提供不同的 VPN 解决方案来保护数据安全性、完整性和身份验证。

  • IPSec VPN − 这通常用于互联网上的安全站点到站点通信。IPSec 提供数据加密、身份验证和完整性。
  • SSL VPN − 安全套接字层 VPN 使远程用户能够通过 Web 浏览器进行安全访问,无需完整的 VPN 程序。SSL VPN 提供了灵活性,可以在 IPSec 可能受限的情况下使用。
  • AnyConnect − 思科的 AnyConnect VPN 为远程用户提供了安全、灵活且无缝的连接。它支持不同的协议,包括 SSL 和 IPSec,并可添加端点态势评估和病毒预防等功能。

CISCO 的 VPN 安全功能

一些常见的 CISCO VPN 安全功能如下 −

  • 加密 − 加密数据包以确保机密性。IPSec 支持多种加密协议,包括 AES(高级加密标准)和 3DES(三重数据加密标准)。
  • 身份验证 − 使用 IKE(Internet 密钥交换)、IKEv2 和 ESP(封装安全有效负载)等协议实现安全身份验证和会话形成。
  • 数据完整性 − SHA-1 和 SHA-256 哈希算法用于确保数据未被篡改。
  • 基于 Web 的访问 − SSL VPN 允许用户通过安全的 Web 浏览器而不是专用的 VPN 软件访问资源,从而使资源更加灵活且易于访问。
  • SSL/TLS 加密 − 使用 SSL/TLS 协议加密流量,确保高安全性和会话完整性。
  • 端点安全 − 通过在连接前检查设备的健康状况或状态来确保安全访问。
  • 无客户端 VPN − Web 浏览器允许用户访问基于 Web 的应用程序、文件共享和电子邮件,这在 BYOD(自带设备)环境中非常方便。
  • 多协议支持 −支持 SSL 和 IPSec,使管理员能够根据自己的需求设计 VPN。
  • 态势评估 − 在授予访问权限之前检查设备的安全状态(防病毒、软件更新),确保只有兼容的设备才能连接到网络。
  • 自适应安全 − 使用思科自适应安全设备 (ASA) 提供复杂的威胁防御,例如恶意软件防护和流量分析。
  • 动态访问策略 − 根据用户角色、设备类型和位置实施访问策略,以提供更详细的控制。
  • 始终在线 VPN − 确保安全的 VPN 连接始终可运行,降低不受保护的互联网会话的可能性。
  • 统一配置 − FlexVPN 采用 IKEv2 协议,可简化各种 VPN(包括站点到站点、远程访问和 DMVPN)的 VPN 配置和部署。
  • 可扩展性和兼容性 − 支持 DMVPN(动态多点 VPN),实现可扩展和动态连接。FlexVPN 还可以连接较旧的 VPN 配置,从而提供灵活性。
  • 安全性和弹性 − 防重放保护、死对等方识别和基于 IKEv2 的身份验证可确保 VPN 连接安全可靠。

这些 Cisco 安全功能均可改进,以满足独特的安全需求,帮助开发强大的网络防御并确保安全的远程访问。Cisco 的 ACL 功能非常灵活,可用于各种场景和应用,例如按 IP、协议、时间、状态和 VLAN 进行过滤。由于其灵活性,它们成为完整网络安全管理的理想选择,允许对多个网络层的流量和访问进行精确控制。

❮ 上一节 下一节 ❯