利用NBAR防范Code Red与Nimda蠕虫：配置指南

"使用NBAR防范红色代码和尼姆达蠕虫病毒" 网络安全是信息技术领域中的重要话题，尤其是对于企业网络而言，防止恶意软件如红色代码（Code Red）和尼姆达（Nimda）等蠕虫病毒的侵入至关重要。网络应用程序识别（NBAR，Network-Based Application Recognition）是一种有效的方法，它能够识别并管理那些使用动态TCP/UDP端口号和HTTP流量的应用程序，从而帮助网络管理员更好地控制网络流量并防止潜在威胁。 NBAR工作原理： NBAR利用Cisco IOS（Internetwork Operating System）的特性，通过深度包检测（PDLM，Packet Detection Language Module）来解析数据包内容，识别出隐藏在流量中的特定应用程序。它可以对多种协议进行匹配，包括但不限于HTTP、FTP、SMTP等，甚至能够分析HTTP请求中的URL和主机名，从而实现对特定网站或文件的过滤。 NBAR的主要应用： 1. **流量分类**：NBAR可以将不同类型的流量区分开，例如区分视频流、电子邮件和其他数据传输。 2. **策略实施**：基于识别到的应用类型，可以实施相应的访问控制策略，比如限制某些应用程序的使用。 3. **SVI（虚拟接口）**：NBAR同样可以应用于虚拟接口，为VLAN提供定制的流量管理。 4. **接口配置**：可以直接在物理或逻辑接口上应用NBAR策略。 5. **PPP（多链路PPP）**：支持在多链路PPP连接中应用NBAR，提高网络的安全性和效率。 NBAR的优势： 1. **扩展性**：支持24个预定义的URL和HOSTMINE模式，以及400种自定义URL模式，满足多样化的需求。 2. **灵活性**：可以基于IP地址、端口、协议等多种条件设置规则。 3. **集成CEF**：与Cisco事件交换框架（CEF）结合，提高流量处理速度和决策效率。 4. **日志记录**：能以CEF格式记录流量信息，方便后续分析和审计。 5. **QoS支持**：可与服务质量（QoS）策略配合，优先处理重要流量。 6. **动态更新**：可以实时更新NBAR的IP地址列表，适应不断变化的网络环境。 配置NBAR的步骤： 1. **启用CEF**：首先需要在路由器全局配置模式下输入`ipcef`命令。 2. **创建class-map**：定义匹配规则，如`class-map match-all DENY-ATTACK`。 3. **NBAR匹配协议**：在class-map中使用`match protocol`指定要匹配的协议和URL模式。 4. **创建policymap**：定义策略映射，如`policy-map Aiko`。 5. **定义class**：在policymap中创建类，并关联class-map。 6. **设定动作**：在class中定义动作，如`drop`表示拒绝匹配到的流量。 7. **应用策略**：最后将策略映射应用到接口上，如`service-policy input Aiko`。 以防止红色代码和尼姆达为例，配置示例： ```text ipcef ! class-map match-all DENY-ATTACK match protocol http url "*.ida*" match protocol http url "*cmd.exe*" match protocol http url "*root.exe*" match protocol http url "*readme.eml*" ! policy-map Aiko class DENY-ATTACK drop ! interface Serial0 ip address 10.0.0.1 255.255.255.252 service-policy input Aiko ``` 这个配置将阻止所有包含特定恶意文件名的HTTP流量，从而有效地防御红色代码和尼姆达蠕虫病毒的传播。 总结来说，NBAR是一种强大的工具，它通过深入解析网络流量，可以帮助网络管理员识别和阻止潜在的恶意活动，提升网络安全性。对于防范像红色代码和尼姆达这样的蠕虫病毒，NBAR提供了有效的解决方案。通过精确的流量分类和策略实施，NBAR可以成为企业网络防护体系中不可或缺的一部分。