科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道用思科路由器建立网络安全机制(4)

用思科路由器建立网络安全机制(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

人们往往认为增加企业网络的安全机制需要增加防火墙、认证服务器等设备,而事实上,我国广泛使用的CISCO路由器中内嵌IOS中的安全机制以足以满足一般企业互联的需求。

作者:51CTO.COM 2007年10月24日

关键字: 路由器 思科 CISCO

  • 评论
  • 分享微博
  • 分享邮件

  正常情况下,我们使用的ICMP报文有:

  ⑴echo request:为ping使用的环路测试请求;

  ⑵echo reply:为ping使用的环路测试回应;

  ⑶packettoo big:某些程序用来侦测目标地址路径上的MTU;

  ⑷time to live (TTL):tracerouter 测试网络报文生存周期;

  ⑸destination host unreachable:通知会话目标不可达。

  上述报文都需要双向通讯。回到我们前面的例子,企业总部的网管员可能希望能ping和tracerouter分支机构的网络设备,而反之则不行。我们可以在路由器的配置中增加下列访问表项:

  interface serial 0

  ip access-group 100 in

  ip access-group 101 out

  access-list 100 permit icmp any 192.168.18.0 0.0.0.255 echo-reply

  access-list 100 permit icmp any 192.168.18.0 0.0.0.255 packet-too-big

  access-list 100 permit icmp any 192.168.18.0 0.0.0.255 ttl-exceeded

  access-list 101 permit icmp 192.168.18.0 0.0.0.255 any echo-reply 应为request

  access-list 101 permit icmp 192.168.18.0 0.0.0.255 any packet-too-big

  access-list 101 permit ip 192.168.18.0 0.0.0.255 any

  由于访问列表在最末隐含"deny all"表项,所以必须在访问列表101的最后一项要加上"access-list 101 permit ip 192.168.18.0 0.0.0.255 any",否则总部的计算机就无法访问分支机构的计算机。

  4. FTP协议的过滤

  之所以将FTP单独拿出来讨论,是因为在建立访问列表时我们发现FTP是一个非常特殊而且复杂的多端口TCP*作。虽然FTP使用的是TCP端口 21(ftp-control),但它还使用了TCP端口20(ftp-data)。端口21用来传输FTP命令,端口20用来传输数据。令人头痛的是,客户机并不是在通过端口21建立FTP连接后简单地再建立一个到FTP服务器端口20的连接,相反是有FTP服务器从端口20建立与客户机的连接,它选择的客户机端口是大于1023的随机端口,客户机然后将端口信息通过已建立的数据通道发往FTP服务器。换句话说,FTP服务器会发起一个到客户机的返回连接。

  回到前面的例子,如果位于企业总部的客户机希望访问分支机构的FTP服务器,那么FTP服务器将会发出一个新的连接至FTP的客户机,虽然报文的目的端口号大于1023,但是它的ACK或RST位不会被设置,那么将会受到"access-list 100 permit tcp any 192.168.18.0 0.0.0.255 gt 1023 established"的阻拦,因此,为保证FTP的正常工作,我们还需在访问列表中增加一项:

  access-list 100 permit tcp any eq 20 192.168.18.0 0.0.0.255 gt 1023

  这样我们就可以保证企业总部的客户机能够顺利访问分支机构的FTP服务器了。

  三、利用静态ARP表保障路由器的安全运行

  这一点和前面所谈的访问列表关系不大,但是,由于目前许多企业大量使用WINDOWS 平台下的PC,而WINDOWS系统可以任由用户自行定义IP地址,而许多用户在不了解网络的情况下,错误地将自己使用的PC的IP地址改为路由器以太网口的IP地址,这样势必造成网络传输的异常。为防止这类情况出现时,严重影响企业网络的正常运转,可以采取在路由器内建立静态ARP的办法,保证除IP地址出现问题的PC外,其他PC的正常工作。我们可以在CISCO路由器上使用如下命令:

  arp 192.168.18.200 aa00.0400.6318 arpa

  其中aa00.0400.6318为路由器以太网口的MAC地址。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章