阿爾法路由器的好環境配置方法

2020-07-24 12:06:01

字體：大中小

來源：轉載

供稿：網友

一、基于訪問表的安全防范策略
1、防止外部IP地址欺騙，外部網絡的用戶可能會使用內部網的合法IP地址或者回環地址作為源地址，從而實現非法訪問。針對此類問題可建立如下訪問列表：
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.0.255.255 any
2、阻止源地址為私有地址的所有通信流。
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
3、阻止源地址為回環地址的所有通信流。
access-list 101 deny ip 224.0.0.0 7.255.255.255 any
4、阻止源地址為多目的地址的所有通信流。
access-list 101 deny ip host 0.0.0.0 any
5、阻止沒有列出源地址的通信流。
注：可以在外部接口的向內方向使用101過濾。

二、防止外部的非法探測，非法訪問者對內部網絡發起攻擊前，往往會用ping或其他命令探測網絡，所以可以通過禁止從外部用ping、traceroute等探測網絡來進行防范。
1、阻止用ping探測網絡。
access-list 102 deny icmp any any time-exceeded
2、阻止用traceroute探測網絡，可在外部接口的向外方向使用102過濾。在這里主要是阻止答復輸出，不阻止探測進入。
3、保護路由器不受攻擊，路由器一般可以通過telnet或SNMP訪問，應該確保Internet上沒有人能用這些協議攻擊路由器。假定路由器外部接口serial0的IP為 200.200.200.1，內部接口fastethernet0的IP為200.200.100.1?？梢陨勺柚箃elnet、SNMP服務的向內過濾保護路由器。建立如下訪問列表：
access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23
access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23
access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161
access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161
4、阻止對關鍵端口的非法訪問，關鍵端口可能是內部系統使用的端口或者是防火墻本身暴露的端口。對這些端口的訪問應該加以限制，否則這些設備就很容易受到攻擊。建立如下訪問列表：
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 137
access-list 101 deny tcp any any eq 138
access-list 101 deny tcp any any eq 139
access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 137
access-list 101 deny udp any any eq 138
access-list 101 deny udp any any eq 139
5、對內部網的重要服務器進行訪問限制，對于沒有配備專用防火墻的網絡，采用動態分組過濾技術建立對重要服務器的訪問限制就顯得尤為重要。對于配備了專用防火墻的校園網，此項任務可以在防火墻上完成，這樣可以減輕路由器的負擔。無論是基于路由器實現，還是在防火墻上完成設置，首先都應該制定一套訪問規則。
（1）允許外部用戶到Web服務器的向內連接請求。
（2）允許Web服務器到外部用戶的向外答復。
（3）允許外部SMTP服務器向內部郵件服務器的向內連接請求。
（4）允許內部郵件服務器向外部SMTP服務器的向外答復。
（5）允許內部郵件服務器向外DNS查詢。
（6）允許到內部郵件服務器的向內的DNS答復。
（6）允許內部主機的向外TCP連接。
（7）允許對請求主機的向內TCP答復。
其他訪問規則可以根據各自的實際情況建立。列出允許的所有通信流后，設計訪問列表就變得簡單了，注意應將所有向內對話應用于路由器外部接口的IN方向，所有向外對話應用于路由器外部接口的OUT方向，更多內容可以參考本站貝爾金路由器設置。

上一篇：飛魚星路由器的協議內含屬性介紹

下一篇：華為路由器線路的融合和發展