论坛登陆 注册 教程 笑话 影视 投稿
首页 | 页界资讯 | 网络应用 | 软件应用 | 组网技术 | 网络原理 | 聊天通讯 | 网管知识 | 帮助
笑话 | 操作系统 | 注 册 表 | 编程开发 | 数 据 库 | 媒体动画 | 网页设计 | 图形图象 | 地图
论坛 | 网络安全 | 安全防范 | 服 务 器 | 硬件学堂 | 路由技术 | 搜索研究 | 站长经验 | 投稿
影院 | 教育频道 | 特色专题 | 精文荟萃 | 注 册 码 | 论坛社区 | 网站地图 | 广告服务 | 旧版
设为首页 加入收藏
当前位置:首页>>文章>>路由技术>>路由配置>>正文

配置路由器成为你安全防范的堡垒
www.xker.com 作者: 来源: 加入日期:2006-2-20 7:34:08
【问题提问、论坛交流】在典型的校园网环境中,路由器一般处于防火墙的外部,负责与Internet的连接这种拓扑结构实际上是将路由器暴露在校园网安全防线之外,如果路由器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁
  
  本文将以Cisco2621路由器为例,详细介绍将一台路由器配置为堡垒路由器的实现方法,使之成为校园网抵御外部攻击的第一道安全屏障
  
  一、基于访问表的安全防范策略
  1. 防止外部IP地址欺骗
  
  外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问针对此类问题可建立如下访问列表:
  
  access-list 101 deny ip 10.0.0.0 0.255.255.255 any
  
  access-list 101 deny ip 192.168.0.0 0.0.255.255 any
  
  access-list 101 deny ip 172.16.0.0 0.0.255.255 any
  
  ! 阻止源地址为私有地址的所有通信流
  
  access-list 101 deny ip 127.0.0.0 0.255.255.255 any
  
  ! 阻止源地址为回环地址的所有通信流
  
  access-list 101 deny ip 224.0.0.0 7.255.255.255 any
  
  ! 阻止源地址为多目的地址的所有通信流
  
  access-list 101 deny ip host 0.0.0.0 any
  
  ! 阻止没有列出源地址的通信流
  
  注:可以在外部接口的向内方向使用101过滤
  
  2. 防止外部的非法探测
  
  非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范可建立如下访问列表:
  
  access-list 102 deny icmp any any echo
  
  ! 阻止用ping探测网络
  
  access-list 102 deny icmp any any time-exceeded
  
  ! 阻止用traceroute探测网络
  
  注:可在外部接口的向外方向使用102过滤在这里主要是阻止答复输出,不阻止探测进入
  
  3. 保护路由器不受攻击
  
  路由器一般可以通过telnet或SNMP访问,应该确保Internet上没有人能用这些协议攻击路由假定路由器外部接口serial0的IP为 200.200.200.1,内部接口fastethernet0的IP为200.200.100.1可以生成阻止telnet、SNMP服务的向内过滤保护路由建立如下访问列表:
  
  access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23
  
  access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23
  
  access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161
  
  access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161
  
  注: 在外部接口的向内方向使用101过滤当然这会对管理员的使用造成一定的不便,这就需要在方便与安全之间做出选择
  
  4. 阻止对关键端口的非法访问
  
  关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口对这些端口的访问应该加以限制,否则这些设备就很容易受到攻击建立如下访问列表:
  
  access-list 101 deny tcp any any eq 135
  
  access-list 101 deny tcp any any eq 137
  
  access-list 101 deny tcp any any eq 138
  
  access-list 101 deny tcp any any eq 139
  
  access-list 101 deny udp any any eq 135
  
  access-list 101 deny udp any any eq 137
  
  access-list 101 deny udp any any eq 138

本新闻共2页,当前在第1页  1  2  

编辑:xker.com
上一篇:利用CISCO路由器建立企业网络的安全机制
下一篇:没有了
关闭窗口】【浏览次数:】【收藏此页
相关文章
·AR18宽带路由器IPSec+Qos的应用组网和·Cisco路由器安全配置简易方案·配置 IPSec - 路由器到PIX防火墙
·在Cisco路由器上配置SSH服务·安装配置—路由器的硬件连接二(组图)·安装配置——路由器的硬件连接一(组图
推荐文章 最新文章 热门文章
·ADSL Modem设置含义及功能全知道(一)
·AJAX.NET用户开发指南
·EFS加密技巧
·详解EFS加密
·嵌入浏览器 关于Alexa工具条的解说与
·利用AJAX+J2EE开发组织机构管理系统
·Alexa 世界网站排名研究
·自己动手:电子图书制作之PDF格式篇
·VS2005中使用强类型DataSet简化开发
·时间就是第一 快速启动程序我有妙招(
·提高效率:屏蔽WinXP中不需用到的功能
·情人节怎么过?Ps超强打造逼真钻石戒
·彻底分析卸载软件 不再请神易送神难
·构建Linux系统下U盘路由器 防火墙(图
·免费中文DOS系统备份恢复程序打造记
·配置路由器成为你安全防范的堡垒
·理解IPv4地址含义
·管理更轻松 试用第三方网络设置工具
·ADSL Modem设置含义及功能全知道(三)
·ADSL Modem设置含义及功能全知道(二)
·ADSL Modem设置含义及功能全知道(一)
·网管必备:几种分布式攻击的防范
·AJAX.NET用户开发指南
·优化hibernate性能的几点建议
·微软内院起火 使用IE7升级系统出错
·利用CISCO路由器建立企业网络的安全机
·AR18宽带路由器IPSec+Qos的应用组网和
·Cisco路由器安全配置简易方案
·EFS加密技巧
·详解EFS加密
·个人简历表格
·免费代理IP(每日更新)
·QQ密码丢失后能做的事情:快速找回密码
·Norton AntiVirus 2006 注册码(激活
·WinRAR 3.51 注册码
·豪杰超级解霸V9.1正版注册码
·系统优化 专题
·找回QQ密码的注意事项 
·史上最强QQ个人档案资料欣赏
·最经典的黑客入门教材
·Ajax技术开发指南
·求职简历封皮
·ACDSee v8.0注册码
·怎样查找对方的IP地址
·FlashFXP 3.3.1 build 1089注册码
评论
设为首页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接
Copyright © 2003-2006 xker.com All rights reserved. 网站合作、广告联系QQ:12231446
小新技术网 冀ICP备05002857号