登录论坛 | 注册会员 设为首页 | 收藏本站
当前位置 : 首页>软件学院>网络技术>网络安全>正文
 
配置路由器成为你安全防范的堡垒

http://www.dbit.cn 2010/5/8 6:56:58  来源:东北IT网  编辑:叶子
 

  在典型的校园网环境中,路由器一般处于防火墙的外部,负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在校园网安全防线之外,如果路由器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁。

  本文将以Cisco2621路由器为例,详细介绍将一台路由器配置为堡垒路由器的实现方法,使之成为校园网抵御外部攻击的第一道安全屏障。

  一、基于访问表的安全防范策略

  1. 防止外部IP地址欺骗

  外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。针对此类问题可建立如下访问列表:

  access-list 101 deny ip 10.0.0.0 0.255.255.255 any

  access-list 101 deny ip 192.168.0.0 0.0.255.255 any

  access-list 101 deny ip 172.16.0.0 0.0.255.255 any

  ! 阻止源地址为私有地址的所有通信流。

  access-list 101 deny ip 127.0.0.0 0.255.255.255 any

  ! 阻止源地址为回环地址的所有通信流。

  access-list 101 deny ip 224.0.0.0 7.255.255.255 any

  ! 阻止源地址为多目的地址的所有通信流。

  access-list 101 deny ip host 0.0.0.0 any

  ! 阻止没有列出源地址的通信流。

  注:可以在外部接口的向内方向使用101过滤。

  2. 防止外部的非法探测

  非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。可建立如下访问列表:

  access-list 102 deny icmp any any echo

  ! 阻止用ping探测网络。

  access-list 102 deny icmp any any time-exceeded

  ! 阻止用traceroute探测网络。

  注:可在外部接口的向外方向使用102过滤。在这里主要是阻止答复输出,不阻止探测进入。

  3. 保护路由器不受攻击

  路由器一般可以通过telnet或SNMP访问,应该确保Internet上没有人能用这些协议攻击路由器。假定路由器外部接口serial0的IP为 200.200.200.1,内部接口fastethernet0的IP为200.200.100.1。可以生成阻止telnet、SNMP服务的向内过滤保护路由器。建立如下访问列表:

  access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23

  access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23

  access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161

  access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161

  注: 在外部接口的向内方向使用101过滤。当然这会对管理员的使用造成一定的不便,这就需要在方便与安全之间做出选择。

  4. 阻止对关键端口的非法访问

  关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口。对这些端口的访问应该加以限制,否则这些设备就很容易受到攻击。建立如下访问列表:

  access-list 101 deny tcp any any eq 135

  access-list 101 deny tcp any any eq 137

  access-list 101 deny tcp any any eq 138

  access-list 101 deny tcp any any eq 139

  access-list 101 deny udp any any eq 135

  access-list 101 deny udp any any eq 137

  access-list 101 deny udp any any eq 138

  access-list 101 deny udp any any eq 139

  5. 对内部网的重要服务器进行访问限制

  对于没有配备专用防火墙的校园网,采用动态分组过滤技术建立对重要服务器的访问限制就显得尤为重要。对于配备了专用防火墙的校园网,此项任务可以在防火墙上完成,这样可以减轻路由器的负担。无论是基于路由器实现,还是在防火墙上完成设置,首先都应该制定一套访问规则。可以考虑建立如下的访问规则:

  ● 允许外部用户到Web服务器的向内连接请求。

本新闻共2页,当前在第1页  1  2  

收藏】【打印】【进入论坛
  相关文章:

·六招技巧提高路由器的安全性能
·轻松加强路由器安全 
·加强路由器安全的措施与方法
·谈谈路由器参数设置和安全功能详解 
·保证路由器安全十个技巧

 
 
 
最新文章

抢先苹果,消息称英特尔芯片采用台积电
三星揭晓业内首款单条 512GB DDR5 内存
vivo 高端新机爆料:120Hz 曲面屏 + 天
vivo Y21 在印度正式上市:Helio P35 芯
微星推出 GeForce RTX 3080 Sea Hawk X
消息称三星 Galaxy Tab S8 系列平板将放
机械革命推出 F6 轻薄本:16 英寸全面屏
英特尔 12 代 Alder Lake CPU 600 系列
雷军:向小米手机 1 首批用户每人赠送价
小米李明谈用户被踢出 MIUI 测试版:大

推荐文章
1
2
3
4
5
6
7
8
9
10
叛逆嫩模性感写真
宫如敏不雅照疯传 看张馨予韩一菲兽兽谁
不惧孔子抢位 阿凡达游戏影音配置推荐
2015第十七届“东北安博会”火爆招商
第十六届东北国际公共安全防范产品博览
2016年第五届中国国际商业信息化博览会
2016年第五届中国国际POS机及相关设备展
互联网电视熟了吗 2013最火电视深解析
桑达获邀出席2015中国(广州)国际POS机
宝获利报名参加“2015年度中国POS机行业
八卦图解 More>>
叛逆嫩模性感写真 宫如敏不雅照疯传 看张馨予韩一菲
周伟童魔鬼身材日本性感写真图  联想V360笔记本模特写真