在用户没有防火墙做限制的情况下,如果遇到大量的伪源IP攻击,或者是端口扫描时,会把设备的流表给占满,而导致正常的数据无法建流而被丢弃,有大量的故障是由于网络存在攻击流量导致,所以建议在实施时配置ip session filter功能只让合法的流量通过,保护设备的性能;
四、配置步骤
1.确认用户的配置
a.如以下为用户接口IP,G0/0、G0/4 、G0/6为内网接口;G0/1、G0/7为外网接口
GigabitEthernet 0/0 10.98.1.6/30 YES UP
GigabitEthernet 0/1 61.157.137.6/30 YES UP
GigabitEthernet 0/4 10.98.1.10/30 YES UP
GigabitEthernet 0/6 10.98.1.14/30 YES UP
GigabitEthernet 0/7 221.10.98.202/30 YES UP
b.用户设置的WEB管理端口
ip http port 8080
c.用户内网的网段
ip route 10.0.0.0 255.0.0.0 10.98.1.5
ip route 10.3.3.0 255.255.255.0 10.98.1.9
ip route 10.60.0.0 255.255.0.0 10.98.1.13
ip route 10.130.0.0 255.255.0.0 10.98.1.13
ip route 10.131.0.0 255.255.0.0 10.98.1.13
ip route 10.132.0.0 255.255.0.0 10.98.1.13
ip route 10.133.0.0 255.255.0.0 10.98.1.13
ip route 10.138.0.0 255.255.0.0 10.98.1.13
ip route 10.139.0.0 255.255.0.0 10.98.1.13
ip route 10.200.0.0 255.255.0.0 10.98.1.13
ip route 10.201.0.0 255.255.0.0 10.98.1.13
ip route 10.202.0.0 255.255.255.0 10.98.1.13
从以上信息可以看出用户的内网都是10.0.0.0/8网段的,在用户网段过多情况下可以考虑适当的汇总;
d.用户所做的端口映射或者ip映射
ip nat inside source static tcp 10.139.24.3 21 61.157.144.49 21 permit-inside
ip nat inside source static tcp 10.139.24.3 20 61.157.144.49 80 permit-inside
ip nat inside source static 10.135.11.2 61.157.144.34 permit-inside
ip nat inside source static 10.1.1.199 61.157.144.45 permit-inside
ip nat inside source static 10.2.2.2 61.157.144.46 permit-inside
ip nat inside source static 10.1.1.200 61.157.144.78 permit-inside
ip nat inside source static 10.1.1.201 221.10.91.78 permit-inside
ip nat inside source static 10.24.1.32 61.157.144.232 permit-inside
ip nat inside source static 10.1.1.70 61.157.144.70 permit-inside
ip nat inside source static 10.3.3.10 61.157.144.11 permit-inside
从端口映射或者是IP映射可以看出,我们需要放通从外网访问的IP和端口;
2.ip session filter的ACL配置
a.针对用户的配置,也就是需要放通的服务配置ACL
ip access-list extended 190
10 permit tcp any 10.98.1.0 0.0.0.15 eq telnet
20 permit tcp any 10.98.1.0 0.0.0.15 eq 8080
30 permit icmp any 10.98.1.0 0.0.0.15
40 permit udp any 10.98.10.0 0.0.0.15 eq snmp
50 permit tcp any host 61.157.137.6 eq telnet
60 permit tcp any host 61.157.137.6 eq 8080
70 permit icmp any host 61.157.137.6
80 permit tcp any host 221.10.98.202 eq telnet
90 permit tcp any host 221.10.98.202 eq 8080
100 permit icmp any host 221.10.98.202
140 permit ip 10.0.0.0 0.255.255.255 any
150 permit tcp any host 61.157.144.49 eq ftp
160 permit tcp any host 61.157.144.49 eq www
170 permit ip any host 61.157.144.34
180 permit ip any host 61.157.144.45
190 permit ip any host 61.157.144.46
200 permit ip any host 61.157.144.78
210 permit ip any host 61.157.144.232
220 permit ip any host 61.157.144.70
230 permit ip any host 61.157.144.11
240 permit ip any host 221.10.91.78
ACE 10到100是放通所有IP到设备接口的telnet,WEB管理和ping,针对内网接口放还放通SNMP管理(建议只针对内网接口放通ICMP协议);
ACE 140是放通内网IP到所有资源的访问;
ACE 150到240是放通任意IP来访问映射的内网服务器的资源;
ACL的配置尽量汇总,因为过多的ACE条目也是很耗CPU资源的,ACL的配置尽量精细化,放通一切合法的流量,尽量拒绝一切非法的流量;
注意:
此ACL不要做any到any到协议或端口的放通,否则伪IP攻击刚好是这个协议或端口会导致我们的防护策略失效;
3.Ip session filter 调用ACL
ip session filter 190 //190及我们前面所配置的ACL
被ip session filter调用的ACL是全局生效的,而且是在建立流表前匹配,也就是说被此ACL拒绝的数据不会建流而直接被丢弃,所以一定要确保该放通的资源都放通后再配置;
Ip session filter对设备本身所发出的数据是不生效的,通过IP session filter 的流量,回来时不会再匹配ip session filter所调用的ACL,也就是说能出去就能回来;
注意:如果是远程配置,以防万一出错配置前先告知用户配置风险,在业务量少的时候配置,并告知用户删除的方法(no Ip session filter),配置后不要立即保存配置,先测试业务正常后再保存;
五、配置验证
1.确认内网用户上网正常;
2.确认服务器外网可以访问;
3.确认设备可以管理;
六、注意问题
1. Ip session filter内似防火墙功能,没有放通的流量就会被阻止,所以配置前一定要做好业务网络的梳理,以免遗漏后造成用户部分的业务终断;如用户使用了OSPF协议需要把OSPF协议放通,如果有VPN与SAM联动等也需要放通;
2. 如果有VPN隧道也需要放通,站点到站点放通感兴趣流,PC到网关放通虚IP地址到资源的访问
3. 设备功能常用端口与协议,根据实现情况放通;
SNMP:UDP 161
L2TP:UDP 1701
PPTP: TCP 1723
IPSEC: UDP 500、4500
SAM联动:TCP 2012
SSLVPN: TCP 443、UDP 443
WEB管理:http方式默认TCP 80、https方式默认 TCP 4430
telnet: tcp 23
GRE:协议GRE
OSFP:协议OSPF
ICPM:协议ICMP
VRRP:协议号112 (permit 112 any any)
DHCP:UDP 67、68 (permit udp any range 67 68 any range 67 68) #在EG做DHCP服务器时使用此ACE条目放通DHCP报文,否测用户无法获取地址