| |
三、保护网络
3.1防止IP地址欺骗
黑客经常冒充地税局内部网IP地址,获得一定的访问权限。
在省地税局和各地市的WAN Router上配置:
防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)。包发送到某个接口,检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发,若是,转发,否则,丢弃。
以下是引用片段:
Router(config-t)#ip cef
Router(config-t)#interface e0
Router(config-if)# ip verify unicast reverse-path 101
Router(config-t)#access-list 101 permit ip any any log | 注意:通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。此项已配置。
防止IP地址欺骗配置访问列表
防止外部进行对内部进行IP地址:
以下是引用片段:
Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any
Router(config-t)#access-list 190 permit ip any any
Router(config-t)#int s4/1/1.1
Router(config-if)# ip access-group 190 in | 防止内部对外部进行IP地址欺骗:
以下是引用片段:
Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any
Router(config-t)#int f4/1/0
Router(config-if)# ip access-group 199 in | |
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
