在边界路由器上部署访问控制列表，网络边界的cisco路由器应关闭cdp服务

***：边界路由器的安全防护措施包括两方面。一方面是在边界路由器上部署访问控制列表，通过该列表可对网络访问进行管控，比如允许或拒绝特定的网络流量进出网络边界。针对网络边界的Cisco路由器，应关闭cdp服务。cdp服务可能存在安全风险，关闭它有助于提升网络边界路由器的安全性，从整体上保障网络环境的安全稳定运行。

《网络边界安全：Cisco路由器关闭CDP服务与访问控制列表部署》

一、引言

在当今的网络环境中，网络安全是至关重要的，网络边界作为内部网络与外部网络的分隔点，是防范外部威胁的第一道防线，Cisco路由器在网络架构中扮演着关键角色，对于网络边界的安全防护有着诸多措施需要考虑，其中关闭CDP（Cisco Discovery Protocol）服务以及部署访问控制列表（ACL）是非常重要的两个方面。

二、Cisco路由器的CDP服务及其风险

（一）CDP服务概述

1、CDP是Cisco专有的协议，运行在数据链路层，它能够自动发现直接相连的Cisco设备的相关信息，如设备的类型、接口、IP地址等。

- 在一个简单的企业网络拓扑中，例如一个总部网络通过Cisco路由器与分支办公室的路由器相连，CDP可以帮助网络管理员快速了解这些相连设备的基本信息。

- 当网络工程师进行网络故障排查时，CDP可以提供相邻设备的连接信息，方便定位故障点。

2、CDP的工作机制

- CDP通过在设备的接口上定期发送和接收包含设备信息的帧来实现设备发现，这些帧包含了设备的名称、设备类型（如路由器、交换机等）、接口名称和IP地址等信息。

- CDP的更新周期默认是60秒，保持时间是180秒，这意味着每隔60秒设备会发送一次CDP消息，而接收端会在180秒内如果没有收到新的CDP消息才认为邻居设备不可达。

（二）CDP服务在网络边界的风险

1、信息泄露风险

- 在网络边界，如果CDP服务开启，外部攻击者有可能通过嗅探网络流量获取到CDP消息中的信息，这些信息可能被用于构建网络拓扑图，从而为进一步的攻击做准备。

- 攻击者可以了解到网络中存在哪些Cisco设备、这些设备的接口信息以及IP地址分配情况等，如果攻击者获取到了网络边界路由器的接口IP地址，就可以针对该IP地址进行端口扫描等攻击行为。

2、安全漏洞利用

- 某些已知的安全漏洞可能与CDP服务相关，虽然Cisco会不断修复这些漏洞，但只要CDP服务开启，就存在潜在的被利用风险。

- 在过去曾出现过的一些漏洞可能允许攻击者通过恶意构造的CDP消息来导致Cisco设备的故障或获取设备的控制权。

三、关闭Cisco路由器网络边界的CDP服务

（一）关闭全局CDP服务

1、在Cisco路由器的命令行界面（CLI）中，可以使用以下命令关闭全局的CDP服务：

- 在特权模式下输入“no cdp run”命令，这个命令会停止路由器在所有接口上发送和接收CDP消息。

- 在一台型号为Cisco 2911的路由器上，进入特权模式（通常是输入“enable”命令并输入正确的密码）后，执行“no cdp run”命令，路由器将不再参与CDP的设备发现过程。

2、验证CDP服务是否关闭

- 可以使用“show cdp”命令进行验证，如果CDP服务已经关闭，命令的输出将显示“CDP is not enabled”。

（二）关闭特定接口的CDP服务

1、可能不想关闭全局的CDP服务，而是只想关闭网络边界接口（如连接到外部网络的接口）上的CDP服务，可以使用以下命令：

- 在接口配置模式下，对于特定接口（例如接口GigabitEthernet0/1），输入“no cdp enable”命令。

- 假设网络边界路由器的外部接口是FastEthernet0/0，进入接口配置模式（通过“interface FastEthernet0/0”命令）后，执行“no cdp enable”命令，这样就只会在这个接口上停止CDP服务，而路由器的其他接口仍然可以正常运行CDP服务（如果需要的话）。

2、再次验证特定接口CDP服务关闭情况

- 可以使用“show cdp interface [interface - name]”命令来验证特定接口的CDP服务是否关闭，要验证FastEthernet0/0接口的CDP服务关闭情况，可以输入“show cdp interface FastEthernet0/0”，如果该接口的CDP服务已关闭，输出将显示相关的CDP服务已禁用的信息。

四、访问控制列表（ACL）概述

（一）ACL的定义与作用

1、访问控制列表是一组规则的集合，这些规则定义了哪些流量被允许或被拒绝通过路由器的接口。

- 在网络边界路由器上，ACL可以根据源IP地址、目的IP地址、端口号、协议类型等多种条件来控制网络流量。

- 在一个企业网络中，企业内部网络（192.168.1.0/24）需要访问互联网上的某些服务器（如Web服务器的IP地址为202.100.100.100），同时要防止外部网络对内部网络的非法访问，ACL就可以用来实现这种流量控制。

2、ACL的类型

- 标准ACL：标准ACL只根据源IP地址来控制流量，标准ACL的编号范围是1 - 99和1300 - 1999，一个标准ACL可以允许或拒绝来自某个特定源网络的所有流量。

- 扩展ACL：扩展ACL可以根据源IP地址、目的IP地址、端口号、协议类型等更多条件来控制流量，扩展ACL的编号范围是100 - 199和2000 - 2699，可以创建一个扩展ACL来允许内部网络中的用户访问外部网络中的Web服务器（端口80），但拒绝外部网络对内部网络中数据库服务器（端口3306）的访问。

（二）ACL在网络边界安全中的重要性

1、网络访问控制

- ACL可以精确地控制内部网络和外部网络之间的访问，通过定义允许和禁止的流量规则，可以防止外部网络的恶意用户访问内部敏感资源，同时也可以限制内部用户对外部网络的不适当访问。

- 在一个金融企业的网络中，内部的财务数据库服务器存储着重要的客户财务信息，通过在网络边界路由器上部署ACL，可以拒绝来自外部网络的对财务数据库服务器的访问请求，除非是经过授权的外部审计机构从特定的IP地址进行访问。

2、防范网络攻击

- ACL可以作为防范多种网络攻击的第一道防线，它可以阻止外部网络对内部网络中特定端口（如常见的易受攻击端口，如135、139、445等）的扫描和连接尝试。

- 如果外部攻击者试图对内部网络中的某个存在漏洞的服务（如未打补丁的Windows SMB服务，使用端口445）进行攻击，通过在网络边界路由器上部署ACL拒绝外部对端口445的访问，可以在一定程度上降低攻击成功的风险。

五、在网络边界路由器上部署访问控制列表

（一）规划ACL规则

1、确定网络需求

- 首先需要明确网络的安全需求和业务需求，确定哪些内部网络需要访问外部网络的哪些服务，哪些外部网络的IP地址或网络段可以访问内部的特定服务器等。

- 在一个医院网络中，内部的医疗信息系统（HIS）服务器需要被医院内部的医护人员（来自特定的内部网络段）访问，同时可能需要允许外部的药品供应商从特定的IP地址段访问药品库存管理系统的部分功能。

2、识别流量类型

- 分析网络中存在的流量类型，包括协议类型（如TCP、UDP、ICMP等）、端口号（如HTTP使用端口80、HTTPS使用端口443等）以及源和目的IP地址。

- 对于一个互联网服务提供商（ISP）的网络边界路由器，需要识别出用户的各种流量类型，如用户的Web浏览（TCP端口80和443）、邮件收发（SMTP端口25、POP3端口110、IMAP端口143等）、DNS查询（UDP端口53）等，以便为不同的流量类型制定合适的ACL规则。

（二）创建标准ACL

1、标准ACL示例

- 假设我们要创建一个标准ACL来阻止来自特定外部网络（10.0.0.0/8）对内部网络的访问，首先进入全局配置模式（在特权模式下输入“configure terminal”命令）。

- 然后使用命令“access - list 1 deny 10.0.0.0 0.255.255.255”，这里的“1”是标准ACL的编号，“deny”表示拒绝操作，“10.0.0.0 0.255.255.255”是要拒绝的源网络地址和通配符掩码。

- 为了允许其他网络的访问，我们可以添加“access - list 1 permit any”命令，表示允许来自其他任何源地址的流量。

2、应用标准ACL到接口

- 在创建好标准ACL后，需要将其应用到网络边界路由器的接口上，假设我们要将上述标准ACL应用到连接外部网络的接口（如FastEthernet0/1）上，进入接口配置模式（“interface FastEthernet0/1”），然后使用命令“ip access - group 1 in”或“ip access - group 1 out”，“in”表示对进入接口的流量应用ACL，“out”表示对从接口出去的流量应用ACL。

（三）创建扩展ACL

1、扩展ACL示例

- 我们要创建一个扩展ACL来允许内部网络（192.168.1.0/24）访问外部网络中的Web服务器（202.100.100.100，端口80），同时拒绝外部网络对内部网络中的文件服务器（192.168.1.10，端口21和20用于FTP服务）的访问。

- 进入全局配置模式后，使用命令“access - list 101 permit tcp 192.168.1.0 0.0.0.255 host 202.100.100.100 eq 80”，这里的“101”是扩展ACL的编号，“permit”表示允许操作，“tcp”是协议类型，“192.168.1.0 0.0.0.255”是源网络地址和通配符掩码，“host 202.100.100.100”表示目的主机地址，“eq 80”表示等于端口80。

- 然后使用命令“access - list 101 deny tcp any host 192.168.1.10 eq 21”和“access - list 101 deny tcp any host 192.168.1.10 eq 20”来拒绝外部网络对内部文件服务器的FTP服务访问。

- 为了允许其他合法流量，添加“access - list 101 permit ip any any”命令，表示允许其他任何IP协议的流量。

2、应用扩展ACL到接口

- 与标准ACL类似，在创建好扩展ACL后，需要将其应用到合适的接口上，假设要将上述扩展ACL应用到连接外部网络的接口（如GigabitEthernet0/0）上，进入接口配置模式后，使用命令“ip access - group 101 in”或“ip access - group 101 out”。

（四）ACL的维护与优化

1、定期审查ACL规则

- 随着网络的发展和业务需求的变化，需要定期审查ACL规则，当企业内部网络结构发生变化（如新增了一个子网）或者外部网络的访问需求发生改变（如新增了一个合作伙伴需要访问内部资源）时，需要对ACL规则进行相应的调整。

- 定期审查还可以发现可能存在的安全漏洞，例如是否有不必要的允许规则可能被攻击者利用。

2、优化ACL规则顺序

- ACL规则的顺序是很重要的，因为路由器会按照ACL规则的顺序依次进行匹配，应该将最具体的规则放在前面，最通用的规则放在后面。

- 如果有一个规则是允许特定IP地址访问某个服务器，另一个规则是允许所有IP地址访问该服务器，那么应该将允许特定IP地址的规则放在前面，这样可以提高匹配效率，并且避免不必要的流量匹配到通用规则。

六、结合关闭CDP服务与ACL部署提升网络边界安全

（一）综合安全策略

1、关闭CDP服务和部署ACL是相辅相成的安全措施，关闭CDP服务可以减少网络信息的泄露风险，而ACL可以对网络流量进行精确的控制。

- 在网络边界路由器上，首先关闭CDP服务，消除因CDP信息泄露可能带来的安全隐患，然后通过部署ACL，根据网络的实际需求，允许合法的流量进出网络，拒绝非法的流量。

- 在一个企业的网络边界，关闭CDP服务后，外部攻击者无法通过CDP获取网络设备信息，通过ACL可以允许企业内部用户访问互联网上的合法资源，如Web服务器、邮件服务器等，而拒绝外部恶意流量对内部网络的攻击。

2、安全策略的协同实施

- 在实施这两项安全措施时，需要考虑它们之间的协同关系，在部署ACL时，需要考虑到关闭CDP服务后可能对网络管理和故障排查带来的影响。

- 如果在网络故障排查时需要获取相邻设备的信息，由于CDP服务已经关闭，可能需要采用其他替代方法，如手动配置设备连接信息或者使用其他网络发现协议（如LLDP，在支持的设备上），ACL的部署也不能影响到合法的网络管理流量，例如允许网络管理员从特定的IP地址对网络边界路由器进行远程管理。

（二）安全监测与响应

1、安全监测

- 在网络边界实施了关闭CDP服务和ACL部署后，还需要进行安全监测，可以使用网络监控工具来监测网络流量，检查是否有违反ACL规则的流量或者是否存在异常的网络活动。

- 可以使用网络入侵检测系统（NIDS）来监测网络流量，当发现有外部网络试图突破ACL规则进行访问或者有异常的流量模式（如大量的ICMP流量可能是ICMP洪水攻击的前兆）时，能够及时发出警报。

2、安全响应

- 当监测到安全事件时，需要有相应的安全响应措施，如果发现有外部网络试图绕过ACL规则进行访问，可能需要调整ACL规则以增强安全性，或者对攻击源进行封锁。

- 如果发现是由于内部用户的误操作导致的违反ACL规则的流量，可以对内部用户进行安全培训，提高用户的安全意识。

七、结论

在网络边界的Cisco路由器上，关闭CDP服务和部署访问控制列表是提升网络安全的重要举措，关闭CDP服务能够避免不必要的设备信息泄露和潜在的安全漏洞利用，而精心规划和部署的访问控制列表可以精确地控制网络流量，防止外部恶意攻击和内部非法访问，通过将这两项措施有机结合，并配合安全监测与响应机制，可以构建一个更加安全可靠的网络边界环境，保护内部网络资源和数据的安全，满足企业或组织的网络安全需求并保障业务的正常运行，需要不断根据网络的发展和安全形势的变化对这些安全措施进行维护和优化，以适应不断变化的网络安全挑战。