日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

路由器走向“堡壘時(shí)代”( 二 )

云知道


● 答應(yīng)外部SMTP服務(wù)器向內(nèi)部郵件服務(wù)器的向內(nèi)連接請(qǐng)求 。
● 答應(yīng)內(nèi)部郵件服務(wù)器向外部SMTP服務(wù)器的向外答復(fù) 。
● 答應(yīng)內(nèi)部郵件服務(wù)器向外DNS查詢 。
● 答應(yīng)到內(nèi)部郵件服務(wù)器的向內(nèi)的DNS答復(fù) 。
● 答應(yīng)內(nèi)部主機(jī)的向外TCP連接 。
● 答應(yīng)對(duì)請(qǐng)求主機(jī)的向內(nèi)TCP答復(fù) 。
其他訪問(wèn)規(guī)則可以根據(jù)各自的實(shí)際情況建立 。列出答應(yīng)的所有通信流后,設(shè)計(jì)訪問(wèn)列表就變得簡(jiǎn)單了 。注重應(yīng)將所有向內(nèi)對(duì)話應(yīng)用于路由器外部接口的IN方向,所有向外對(duì)話應(yīng)用于路由器外部接口的OUT方向 。
二、常見(jiàn)攻擊手段及其對(duì)策
1. 防止外部ICMP重定向欺騙
攻擊者有時(shí)會(huì)利用ICMP重定向來(lái)對(duì)路由器進(jìn)行重定向,將本應(yīng)送到正確目標(biāo)的信息重定向到它們指定的設(shè)備,從而獲得有用信息 。禁止外部用戶使用ICMP重定向的命令如下:
interface serial0
no ip redirects
2. 防止外部源路由欺騙
源路由選擇是指使用數(shù)據(jù)鏈路層信息來(lái)為數(shù)據(jù)報(bào)進(jìn)行路由選擇 。該技術(shù)跨越了網(wǎng)絡(luò)層的路由信息,使入侵者可以為內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)指定一個(gè)非法的路由,這樣原本應(yīng)該送到合法目的地的數(shù)據(jù)報(bào)就會(huì)被送到入侵者指定的地址 。禁止使用源路由的命令如下:
no ip source-route
3. 防止盜用內(nèi)部IP地址
攻擊者可能會(huì)盜用內(nèi)部IP地址進(jìn)行非法訪問(wèn) 。針對(duì)這一問(wèn)題,可以利用Cisco路由器的ARP命令將固定IP地址綁定到某一MAC地址之上 。具體命令如下:
arp 固定IP地址 MAC地址 arpa
4. 在源站點(diǎn)防止smurf
要在源站點(diǎn)防止smurf,要害是阻止所有的向內(nèi)回顯請(qǐng)求 。這就要防止路由器將指向網(wǎng)絡(luò)廣播地址的通信映射到局域網(wǎng)廣播地址 。可以在LAN接口方式中輸入如下命令:
no ip directed-broadcast
三、關(guān)閉路由器上不用的服務(wù)
路由器除了可以提供路徑選擇外,它還是一臺(tái)服務(wù)器,可以提供一些有用的服務(wù) 。路由器運(yùn)行的這些服務(wù)可能會(huì)成為敵人攻擊的突破口,為了安全起見(jiàn),最好關(guān)閉這些服務(wù) 。
通過(guò)以上介紹的各種方法,我們成功地將一臺(tái)普通路由器配置為一臺(tái)堡壘路由器,在沒(méi)有增加任何投入的情況下,提高了整個(gè)園區(qū)網(wǎng)的安全性 。但應(yīng)該說(shuō)明的是,堡壘路由器的實(shí)現(xiàn)是以犧牲整個(gè)網(wǎng)絡(luò)的效率為代價(jià)的,可能會(huì)影響到園區(qū)網(wǎng)對(duì)外訪問(wèn)的速度 。

推薦閱讀