用思科路由器建立网络安全机制(3)

　　2． 过滤UDP（User Datagram Protocol）协议

　　我们知道UDP协议和TCP协议的区别在于UDP是一种无连接的协议。因此，不会有SYN-ACK协商，因此，UDP报文头也不存在类似TCP协议ACK位或RST位那种可以确定某个报文是否为一个已存在报文会话的一部分的位。

　　假设上一例子中企业网络*作系统是基于Windows NT平台的，使用WINS服务器解析计算机名，假设WINS Server 不在企业总部而在分支机构，它的IP地址为 192.168.2.245。由于互联网上利用Windows 系统Netbios漏洞（UDP port 137~139）进行攻击的程序（如winnuke）较多，因此，必须对这部分UDP协议进行过滤，以保证企业总部的计算机系统不受攻击，同时也不能影响 WINS的名字解析工作（UDP port：137，netbios-ns）。

　　我们根据客户机的端口号是在1023以上随机选择的这样一个规则，使用如下命令解决了这一难题：

　　access-list 100 permit udp 192.168.2.245 0.0.0.0 eq 137 any gt 1023

　　这条命令可以保证藏匿在分支机构的黑客可以欺骗性地使用源地址和源端口，并且报文类似WINS服务器的报文，但是他还是不能给企业总部的任何服务器端口发送报文，因为企业总部的服务器的端口通常小于1024。

　　3． 过滤ICMP（internet Control Message Protocol）协议

　　经常使用TCP/IP网络的人，一定会用到ping和traceroute（Windows 系统为tracert）命令，这两条命令是基于ICMP协议的。ICMP与其他协议一起为网络发布错误报告，并提供使用其他协议时所发生的相关信息。

　　我们知道ICMP提供了其他网络服务和应用程序的大量信息，而黑客也可以使用ICMP来获取企业网络上的信息，因此作为网络管理者是不希望将这些信息泄漏出来的。但是，如果没有ICMP，网络管理程序就不能工作，至少不能正常工作。

　　过滤ICMP比过滤TCP、UDP都要难，因为ICMP信息多数是为了响应其他程序而产生的。因此，要过滤ICMP信息，需要从接口的进出两个方向都进行报文过滤。