|
 84980667 |
 等级:版主 |
积分:270 |
帖子:0篇 |
| 注册:2004-5-15 |
 鲜花(17) 鸡蛋(15) |
|
|
|
|
|
 Re:~!!让路由器成为你防范的堡垒`1`! |
3. 保护路由器不受攻击
路由器一般可以通过telnet或SNMP访问,应该确保Internet上没有人能用这些协议攻击路由器。假定路由器外部接口serial0的IP为200.200.200.1,内部接口fastethernet0的IP为200.200.100.1。可以生成阻止telnet、SNMP服务的向内过滤保护路由器。建立如下访问列表:
access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23
access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23
access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161
access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161
注: 在外部接口的向内方向使用101过滤。当然这会对管理员的使用造成一定的不便,这就需要在方便与安全之间做出选择。
4. 阻止对关键端口的非法访问
关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口。对这些端口的访问应该加以限制,否则这些设备就很容易受到攻击。建立如下访问列表:
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 137
access-list 101 deny tcp any any eq 138
access-list 101 deny tcp any any eq 139
access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 137
access-list 101 deny udp any any eq 138
access-list 101 deny udp any any eq 139
5. 对内部网的重要服务器进行访问限制
对于没有配备专用防火墙的校园网,采用动态分组过滤技术建立对重要服务器的访问限制就显得尤为重要。对于配备了专用防火墙的校园网,此项任务可以在防火墙上完成,这样可以减轻路由器的负担。无论是基于路由器实现,还是在防火墙上完成设置,首先都应该制定一套访问规则。可以考虑建立如下的访问规则:
● 允许外部用户到Web服务器的向内连接请求。
● 允许Web服务器到外部用户的向外答复。
● 允许外部SMTP服务器向内部邮件服务器的向内连接请求。
● 允许内部邮件服务器向外部SMTP服务器的向外答复。
● 允许内部邮件服务器向外DNS查询。
● 允许到内部邮件服务器的向内的DNS答复。
● 允许内部主机的向外TCP连接。
● 允许对请求主机的向内TCP答复。
其他访问规则可以根据各自的实际情况建立。列出允许的所有通信流后,设计访问列表就变得简单了。注意应将所有向内对话应用于路由器外部接口的IN方向,所有向外对话应用于路由器外部接口的OUT方向 |
请顺便点下该广告来支持本站! 2004-7-27 21:06 |
|
|
|
 |
|
| |
 84980667 说: |
|
|
|
|
| 84980667 |
| 等级:版主 |
| 积分:270 |
| 帖子:0篇 |
| 注册:2004-5-15 |
| 鲜花(16)鸡蛋(15) |
|
|
|
|
|
| Re:~!!让路由器成为你防范的堡垒`1`! |
| 以上文章 出自 黑盾网络安全信息网~!~!http://www.heidun.com. |
| 请顺便点下该广告来支持本站!2004-7-27 21:07 |
|
|
|
|
|
| |
84980667 说: |
|
|
|
| jerry |
| 等级:站长 |
| 积分:3458 |
| 帖子:266篇 |
| 注册:2004-3-29 |
| 鲜花(16)鸡蛋(13) |
|
|
|
|
|
| Re:~!!让路由器成为你防范的堡垒`1`! |
请以后将这种长篇的文章到“我的学习助手”的“文章管理”中进行发布,然后在这里公布文章的网址。
望斑竹支持本站的管理工作,因为发布到文章管理中后,很多人都可以看到的,并且可以进行查询。精彩的文章还将被推荐到网站首页或栏目首页 |
| 请顺便点下该广告来支持本站!2004-7-27 21:33 |
|
|
|
|
|
| |
jerry 说: |
|
|
