在典型的校園網(wǎng)環(huán)境中,路由器一般處于防火墻的外部,負(fù)責(zé)與Internet的連接。這種拓?fù)浣Y(jié)構(gòu)實(shí)際上是將路由器暴露在校園網(wǎng)安全防線之外,如果配置路由器本身又未采取適當(dāng)?shù)陌踩婪恫呗,就可能成為攻擊者發(fā)起攻擊的一塊跳板,對(duì)內(nèi)部網(wǎng)絡(luò)安全造成威脅。
基于訪問(wèn)表的安全防范策略
1. 防止外部IP地址欺騙
外部網(wǎng)絡(luò)的用戶可能會(huì)使用內(nèi)部網(wǎng)的合法IP地址或者回環(huán)地址作為源地址,從而實(shí)現(xiàn)非法訪問(wèn)。針對(duì)此類問(wèn)題可建立如下訪問(wèn)列表:
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.0.255.255 any
! 阻止源地址為私有地址的所有通信流。
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
! 阻止源地址為回環(huán)地址的所有通信流。
access-list 101 deny ip 224.0.0.0 7.255.255.255 any
! 阻止源地址為多目的地址的所有通信流。
access-list 101 deny ip host 0.0.0.0 any
! 阻止沒(méi)有列出源地址的通信流。
注:可以在外部接口的向內(nèi)方向使用101過(guò)濾。
2. 防止外部的非法探測(cè)
非法訪問(wèn)者對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊前,往往會(huì)用ping或其他命令探測(cè)網(wǎng)絡(luò),所以可以通過(guò)禁止從外部用ping、traceroute等探測(cè)網(wǎng)絡(luò)來(lái)進(jìn)行防范?山⑷缦略L問(wèn)列表:
access-list 102 deny icmp any any echo
! 阻止用ping探測(cè)網(wǎng)絡(luò)。
access-list 102 deny icmp any any time-exceeded
! 阻止用traceroute探測(cè)網(wǎng)絡(luò)。
注:可在配置路由器外部接口的向外方向使用102過(guò)濾。在這里主要是阻止答復(fù)輸出,不阻止探測(cè)進(jìn)入。
相關(guān)推薦:推薦:2010年計(jì)算機(jī)軟件水平考試必備完美攻略北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |