科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换配置路由器成为你安全防范的堡垒

配置路由器成为你安全防范的堡垒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

  本文给大家详细的介绍了如何巧妙的去配置路由器使你的机器更加安全,从而抵御外部攻击,本文主要以CISCO2621路由器为例,给大家详细的讲解了具体配置。

来源:chinaitlab 2011年3月6日

关键字: CISCO 路由配置

  • 评论
  • 分享微博
  • 分享邮件

  本文给大家详细的介绍了如何巧妙的去配置路由器使你的机器更加安全,从而抵御外部攻击,本文主要以CISCO2621路由器为例,给大家详细的讲解了具体配置。

  在典型的校园网环境中,路由器一般处于防火墙的外部,负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在校园网安全防线之外,如果配置路由器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁。

  基于访问表的安全防范策略

  1. 防止外部IP地址欺骗

  外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。针对此类问题可建立如下访问列表:

  access-list 101 deny ip 10.0.0.0 0.255.255.255 any

  access-list 101 deny ip 192.168.0.0 0.0.255.255 any

  access-list 101 deny ip 172.16.0.0 0.0.255.255 any

  ! 阻止源地址为私有地址的所有通信流。

  access-list 101 deny ip 127.0.0.0 0.255.255.255 any

  ! 阻止源地址为回环地址的所有通信流。

  access-list 101 deny ip 224.0.0.0 7.255.255.255 any

  ! 阻止源地址为多目的地址的所有通信流。

  access-list 101 deny ip host 0.0.0.0 any

  ! 阻止没有列出源地址的通信流。

  注:可以在外部接口的向内方向使用101过滤。

  2. 防止外部的非法探测

  非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。可建立如下访问列表:

  access-list 102 deny icmp any any echo

  ! 阻止用ping探测网络。

  access-list 102 deny icmp any any time-exceeded

  ! 阻止用traceroute探测网络。

  注:可在配置路由器外部接口的向外方向使用102过滤。在这里主要是阻止答复输出,不阻止探测进入。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章