四、保护服务器
对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。
以下是引用片段:
ip route 130.1.1.1 255.255.255.255.0 null |
在WAN Router上配置CBAC,cisco状态防火墙,防止Sync Flood攻击
以下是引用片段:
hr(config)#int s0/0
hr(config-if)#ip access-group 100 in
hr(config)#int f0/0
hr(config-if)#ip inspect insp1 in
hr(config)#ip inspect audit-trial
hr(config)#ip inspect name insp1 tcp
hr(config)#ip inspect max-incomplete high 350
hr(config)#ip inspect max-incomplete low 240
hr(config)#ip audit
hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80 |
在WAN Router 上配置IDS入侵检测系统
以下是引用片段:
hr(config)#ip audit name audit1 info action alarm
hr(config)#ip audit name audit1 attack action alarm drop
reset
hr(config)#ip audit audit1 notify log
hr(config)#int s0/0
hr(config)#ip audit audit1 in |
五、网络运行监视
配置syslog server,将日志信息发送到syslog server上Syslog Server纪录Router的平时运行产生的一些事件,如广域口的up, down, OSPF Neighbour的建立或断开等,它对统计Router的运行状态、流量的一些状态,电信链路的稳定有非常重要的意义,用以指导对网络的改进。
以下是引用片段:
Router(config-t)#logg on
Router(config-t)#logg 172.5.5.5
Router(config-t)#logg facility local6 |
