让路由器成为你防范的堡垒

  在典型的校园网环境中，路由器一般处于防火墙的外部，负责与Internet的毗连。这种拓扑布局现实上是将路由器袒露在校园网安全防地之外，要是路由器自己又未采取适当的安全防范策略，就大概成为打击者提倡打击的一块跳板，对外部网络安全形成要挟。
  本文将以Cisco2621路由器为例，详细先容将一台路由器设置装备摆设为营垒路由器的完成方法，使之成为校园网抵御外部打击的第一道安全屏障。
  一、基于访问表的安全防范策略
  1. 防止外部IP地址诱骗
  外部网络的用户大概会使用外部网的正当IP地址大概回环地址作为源地址，从而完成合法访问。针对此类问题可建立如下访问列表：
  access-list 101 deny ip 10.0.0.0 0.255.255.255 any
  access-list 101 deny ip 192.168.0.0 0.0.255.255 any
  access-list 101 deny ip 172.16.0.0 0.0.255.255 any
  ! 制止源地址为公有地址的所有通信流。
  access-list 101 deny ip 127.0.0.0 0.255.255.255 any
  ! 制止源地址为回环地址的所有通信流。
  access-list 101 deny ip 224.0.0.0 7.255.255.255 any
  ! 制止源地址为多目标地址的所有通信流。
  access-list 101 deny ip host 0.0.0.0 any
  ! 制止没有列出源地址的通信流。
  注：可以在外部接口的向内方向使用101过滤。
  2. 防止外部的合法探测
  合法访问者对外部网络提倡打击前，每每会用ping或其他命令探测网络，以是可以通过禁止从外部用ping、traceroute等探测网络来举行防范。可建立如下访问列表:
  access-list 102 deny icmp any any echo
  ! 制止用ping探测网络。
  access-list 102 deny icmp any any time-exceeded
  ! 制止用traceroute探测网络。
  注：可在外部接口的向外方向使用102过滤。在这里主要是制止答复输出，不制止探测进入。
  3. 掩护路由器不受打击
  路由器一般可以通过telnet或SNMP访问，应该确保Internet上没有人能用这些协议打击路由器。假定路由器外部接口serial0的IP为200.200.200.1，外部接口fastethernet0的IP为200.200.100.1。可以生成制止telnet、SNMP办事的向内过滤掩护路由器。建立如下访问列表：
  access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23
  access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23
  access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161
  access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161
  注: 在外部接口的向内方向使用101过滤。当然这会对管理员的使用形成肯定的不便，这就必要在方便与安全之间做出选择。
  4. 制止对要害端口的合法访问
  要害端口大概是外部体系使用的端口大概是防火墙自己袒露的端口。对这些端口的访问应该加以限定，否则这些设备就很容易遭到打击。建立如下访问列表：
  access-list 101 deny tcp any any eq 135
  access-list 101 deny tcp any any eq 137
  access-list 101 deny tcp any any eq 138
  access-list 101 deny tcp any any eq 139
  access-list 101 deny udp any any eq 135
  access-list 101 deny udp any any eq 137
  access-list 101 deny udp any any eq 138
  access-list 101 deny udp any any eq 139
  5. 对外部网的重要办事器举行访问限定
  对付没有装备公用防火墙的校园网，接纳动态分组过滤技能建立对重要办事器的访问限定就显得尤为重要。对付装备了公用防火墙的校园网，此项使命可以在防火墙上完成，这样可以加重路由器的负担。无论是基于路由器完成，还是在防火墙上完成设置，首先都应该制定一套访问规矩。可以思量建立如下的访问规矩:
  ● 允许外部用户到Web办事器的向内毗连请求。
  ● 允许Web办事器到外部用户的向外答复。
  ● 允许外部SMTP办事器向外部邮件办事器的向内毗连请求。
  ● 允许外部邮件办事器向外部SMTP办事器的向外答复。
  ● 允许外部邮件办事器向外DNS查询。
  ● 允许到外部邮件办事器的向内的DNS答复。
  ● 允许外部主机的向外TCP毗连。
  ● 允许对请求主机的向内TCP答复。
  其他访问规矩可以根据各自的现实情况建立。列出允许的所有通信流后，设计访问列表就变得简略了。细致应将所有向内对话使用于路由器外部接口的IN方向，所有向外对话使用于路由器外部接口的OUT方向。
  二、常见打击本领及其对策
  1. 防止外部ICMP重定向诱骗
  打击者有时会利用ICMP重定向来对路由器举行重定向，将本应送到精确目标的信息重定向到它们指定的设备，从而获得有效信息。禁止外部用户使用ICMP重定向的命令如下：
  interface serial0
  no ip redirects
  2. 防止外部源路由诱骗
  源路由选择是教唆用数据链路层信息来为数据报举行路由选择。该技能跨越了网络层的路由信息，使入侵者可以为外部网的数据报指定一个合法的路由，这样本来应该送到正当目标地的数据报就会被送到入侵者指定的地址。禁止使用源路由的命令如下：
  no ip source-route
  3. 防止盗用外部IP地址
  打击者大概会盗用外部IP地址举行合法访问。针对这一问题，可以利用Cisco路由器的ARP命令将牢固IP地址绑定到某一MAC地址之上。具体命令如下：
  arp 牢固IP地址 MAC地址 arpa
  4. 在源站点防止smurf
  要在源站点防止smurf，要害是制止所有的向内回显请求。这就要防止路由器将指向网络广播地址的通信映射到局域网广播地址。可以在LAN接口方法中输出如下命令：
  no ip directed-broadcast
  三、关闭路由器上不用的办事
  路由器除了可以提供路径选择外，它还是一台办事器，可以提供一些有效的办事。路由器运行的这些办事大概会成为敌人打击的突破口，为了安全起见，最好关闭这些办事。
  通过以上先容的种种方法，我们成功地将一台平凡路由器设置装备摆设为一台营垒路由器，在没有增长任何投入的情况下，进步了整个园区网的安全性。但应该说明的是，营垒路由器的完成是以捐躯整个网络的服从为代价的，大概会影响到园区网对外访问的速度。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：