科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道用访问控制列表构筑“铜墙铁壁”

用访问控制列表构筑“铜墙铁壁”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

笔者在路由器和交换机上进行ACL配置来防范病毒和黑客攻击,效果非常好。由于病毒(特别是系统漏洞病毒)都是利用相应端口进行传播与攻击的,所以我们可以考虑通过在路由器或交换机上设置相应的ACL进行防范。

2007年9月19日

关键字: any 访问控制列表 访问控制 路由器 ACL

  • 评论
  • 分享微博
  • 分享邮件

  笔者在路由器和交换机上进行ACL(访问控制列表)配置来防范病毒和黑客攻击,效果非常好。经过配置后,在很多主机没打相应补丁的情况下,各网络设备有效地阻止了震荡波的攻击。

  

  由于病毒(特别是系统漏洞病毒)都是利用相应端口进行传播与攻击的,所以我们可以考虑通过在路由器或交换机上设置相应的ACL进行防范。

  

  我们以Cisco产品为例进行说明,具体ACL配置如下:

  

  access-list 101 permit tcp any any established

  

  这个命令是建立一个ACL,它只容许已经建立的连接从外向里传输数据,而对于事先没有建立的连接将被拒绝进行数据传输。最后再把ACL绑定到相应的端口就可以达到预防病毒的目的了。

  

  现在让我们来看看如何利用这一技术迎战震荡波。公司很多计算机没有打补丁,这样外部感染了震荡波的主机会通过445、5554和9996这3个端口向内部主机传播病毒。由于我们设置了ACL,所以当外部的病毒主动向内部445、5554、9996端口传输时,这些数据会被路由器过滤掉,实现真正的防患于未然。而这样的设置对内网中的用户使用网络没有任何影响。

  

  提示

  1.由于established语句只支持TCP协议,所以如果公司要传输DNS等信息,还要设置相应的ACL语句把UDP的传输打开,格式为access-list 101 permit udp any any。

  

  2.这样设置之后用户会抱怨FTP使用不了,因为FTP密码验证和数据传输使用的不是同一个端口,密码验证用21端口,而数据传输用20端口,所以我们也要加上相应的ACL,格式为access-list 101 permit tcp any any eq ftp-data或access-list 101 permit tcp any any eq 20。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章