登录论坛 | 注册会员 设为首页 | 收藏本站
当前位置 : 首页>网络\服务器>学堂>正文
 
巧设路由 阻断局域网病毒传播路径

http://www.dbit.cn 2010/8/24 7:36:44  来源:东北IT网  编辑:叶子
 
  (2)过滤ICMP报文

  恶性的ping是局域网病毒常常采用的攻击方式。病毒随机生成ping的目标地址,然后通过路由器来进行报文转发,因此在路由器中就需要为每个ping的ICMP报文创建一条NAT的对应表。如果管理员在特权用户模式下查看该表时,若是用户看到大量的ICMP的NAT的session就应该警惕地想到是否已经中招(即遭到拒绝服务攻击)。

  如果病毒恶性的发动ICMP的ping攻击,在几秒钟内发出上万个ping报文则会在NAT表中占用了大量的NAT的Session的连接。而UDP的NAT的SESSlON的存在时间为5秒,TCP连接的NAT的SESSION的保存时间为24小时,这种恶性的ping攻击便可能将NAT的SESSION的值全部占用。造成的后果是,正常的网络数据报文由于路由器的全部的NAT的SESSlON都被占用得不到NAT的服务会造成无法进行正常的网络通讯。因此,我们可以采用访问列表的方式将ICMP的报文过滤掉,保证正常的网络服务。我们可以通过下面命令屏蔽来自外部和内部的ICMP包。

  Router(Config)#access-list 110 deny icmp any any echo log

  Router(Config)#access-list 110 deny icmp any any redirect log

  Router(Config)#access-list 110 deny icmp any any mask-request log

  Router(Config)#access-list 110 permit icmp any any

  Router(Config)#access-list 111 permit icmp any any echo

  Router(Config)#access-list 111 permit icmp any any Parameter-problem

  Router(Config)#access-list 111 permit icmp any any packet-too-big

  Router(Config)#access-list 111 permit icmp any any source-quench

  Router(Config)#access-list 111 deny icmp any any log  

  
局域网


  (3)端口过滤

  在路由器的出口和入口创建访问列表来控制病毒的出入,这些访问控制列表都是基于端口(比如135、136、445、4444等)的。通常情况下,管理员可通过察看数据包的数目,以调整他们的顺序,将转换多的包放在前面可以提高速度。

  Router(Config)#Access-list 110 deny tcp any any eq 135

  Router(Config)#Access-list 110 deny udp any any eq 135

  Router(Config)#Access-list 110 deny tcp any any eq 136

  Router(Config)#Access-list 110 deny udp any any eq 136

  Router(Config)#Access-list 110 deny tcp any any eq 445

  Router(Config)#Access-list 110 deny udp any any eq 445

  Router(Config)#Access-list 110 deny tcp any any eq 4444

  Router(Config)#Access-list 110 deny udp any any eq 4444

  按照上述方式,将列表应用到相应的端口即可以了。

  
局域网


  3.其他措施

  (1)服务优化

  路由器开启的服务要尽量地少,依据需要只开启所需的服务,禁掉一些不必要的服务。这样不仅节省内存,另外最大的好处就是安全性的提高。如何保障路由器的简约的工作,防止内存的消耗可以通过以下方法进行:首先用户可以关闭路由器的报文快速转发机制,通过关闭接口的报文快速转发机制,采用正常的报文转发机制便会杜绝路由器由于快速转发造成的内存不足问题。其次在内存分配方面进行优化,关闭快速转发最后用户还应该检查是否已经正确的配置静态路由。

  (2)路由安全

  无论网络管理人员多么辛苦地防范,但是堡垒往往会从内部被攻破,若是路由器的物理安全得不到保障其他一切都是空谈。另外,对于Cisco路由器来说其IOS安全也是不容忽视的,要做好备份和升级。其次,路由日志安全也很重要,要做好备份策略。

  总之,只要掌握病毒特点就可以利用cisco路由器的本身功能够斩断黑手,在最大程度上将病毒拒之门外。当然,这只是在缺少其它保护的前提下应用的策略。为了保护网络的安全,可采用多种安全产品,网管的责任心也是非常重要的因素。

本新闻共2页,当前在第2页  1  2  

收藏】【打印】【进入论坛
  相关文章:

·三大绝招 立刻剿杀局域网顽固病毒
·防止局域网病毒屡杀不净的三大绝招 

 
 
 
最新文章

抢先苹果,消息称英特尔芯片采用台积电
三星揭晓业内首款单条 512GB DDR5 内存
vivo 高端新机爆料:120Hz 曲面屏 + 天
vivo Y21 在印度正式上市:Helio P35 芯
微星推出 GeForce RTX 3080 Sea Hawk X
消息称三星 Galaxy Tab S8 系列平板将放
机械革命推出 F6 轻薄本:16 英寸全面屏
英特尔 12 代 Alder Lake CPU 600 系列
雷军:向小米手机 1 首批用户每人赠送价
小米李明谈用户被踢出 MIUI 测试版:大

推荐文章
1
2
3
4
5
6
7
8
9
10
叛逆嫩模性感写真
宫如敏不雅照疯传 看张馨予韩一菲兽兽谁
不惧孔子抢位 阿凡达游戏影音配置推荐
2015第十七届“东北安博会”火爆招商
第十六届东北国际公共安全防范产品博览
2016年第五届中国国际商业信息化博览会
2016年第五届中国国际POS机及相关设备展
互联网电视熟了吗 2013最火电视深解析
桑达获邀出席2015中国(广州)国际POS机
宝获利报名参加“2015年度中国POS机行业
八卦图解 More>>
叛逆嫩模性感写真 宫如敏不雅照疯传 看张馨予韩一菲
周伟童魔鬼身材日本性感写真图  联想V360笔记本模特写真