路由器常用ACL和一些简单防护

作者: 出处:51CTO.com　 ( ) 砖 ( ) 好评论 ( ) 条　进入论坛

更新时间：2007-09-18 14:44
关键词：ACL 访问控制列表路由器
阅读提示：访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

1、IP欺骗简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址；回环地址（127.0.0.0/8）；RFC1918私有地址；DHCP自定义地址（169.254.0.0/16）；科学文档作者测试用地址（192.0.2.0/24）；不用的组播地址（224.0.0.0/4）；SUN公司的古老的测试地址（20.20.20.0/24；204.152.64.0/23）；全网络地址（0.0.0.0/8）。

 Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 permit ip any any
Router(Config-if)# ip access-group 100 in

2、建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。（可选）如：

 Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any
Router(Config)# access-list 101 deny ip any any
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in

其他可选项：

建议启用SSH，废弃掉Telnet.但只有支持并带有IPSec特征集的IOS才支持SSH.并且IOS12.0-IOS12.2仅支持SSH-V1.如下配置SSH服务的例子：

 Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any
Router(Config)# access-list 101 deny ip any any
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in 
Router(Config)# config t
Router(Config)# no access-list 22
Router(Config)# access-list 22 permit 192.168.0.22
Router(Config)# access-list deny any
Router(Config)# username test privilege 10 ****

！设置SSH的超时间隔和尝试登录次数

 Router(Config)# ip ssh timeout 90
Router(Config)# ip ssh anthentication-retries 2
Router(Config)# line vty 0 4
Router(Config-line)# access-class 22 in
Router(Config-line)# transport input ssh
Router(Config-line)# login local
Router(Config-line)# exit

！启用SSH服务，生成RSA密钥对。

Router(Config)# crypto key generate rsa
The name for the keys will be: router.xxx
Choose the size of the key modulus in the range of 360 to 2048
for your General Purpose Keys .
Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus[512]: 2048
Generating RSA Keys...
Router(Config)#

【相关文章】

Secpath典型配置之访问控制列表（ACL）

网络安全之防火墙概念与访问控制列表

化繁为简用访问控制列表跑双网

【责任编辑：刘晨亮 TEL：（010）68476606】

滚动新闻　术语词典　问题悬赏

发表

共条查看

评价

叫个好

拍一砖

我也说两句

中国领先的 IT 技术网站 ·
技术成就梦想

·华为、贝恩资本22亿美元购3Com
·NGN:下一代网络

· 无线热点激增 Wi-Fi应..
· 思科CEO承诺支付股息 ..
· 3Com平息外界质疑称华..
· 路由器做VPN，客户端同..
· Catalyst 6000/6500 系..
· Practice Lab 3:多路由..

· 3Com股东欲抬高价格集..
· Force10推出S2410数据..
· 城域以太网技术力助城..
· 路由器连通问题
· Oracle 查询
· 路由器的管理地址被我n..

排行榜

·路由器设置与口令恢复 (查看64920次)
·常用交换机典型配置 (查看37738次)
·网络管理员考试全真模拟试题(八.. (查看33921次)
·三层交换技术专题 (查看29084次)
·子网掩码教程 (查看26681次)

·2006无线校园建设与应用大会将召开 (1028个砖)
·51CTO专访：造中国特色VPN产品 (446个砖)
·子网掩码教程 (321个砖)
·三层交换技术专题 (258个砖)
·专访锐捷：校园网现状是少规划性价比差 (168个砖)

·51CTO专访：造中国特色VPN产品 (533个好)
·子网掩码教程 (440个好)
·三层交换技术专题 (256个好)
·无线网状网（MESH） (225个好)
·专访锐捷：校园网现状是少规划性价比差 (181个好)

·华为、贝恩资本22亿美元购3Com (10月)
·网络管理系统如何支撑ITSM (10月)
·51CTO技术自测挑战自己赢大奖 (09月)
·超级网管员系列大型视频专题 (09月)
·NGN:下一代网络 (08月)

·从优秀的程序员到伟大的程序员
·使用Sniffer Pro监控网络流量

· 微软中国07研发投入超..
· 你对密码算法了解多少..
· 卡巴斯基在线杀毒惊现..
· Gartner评08年十大战略..
· Linux系统下的C语言开..
· 微软发布IE7最新安全警..
· 给交换机设置管理性IP..
· 体验Windows Server 20..

· 以太网交换机性能比较..
· 十三方面由浅到深详细..
· .NET Framework开源给..
· AMD宣布加入Eclipse基..
· 微软免费Office只能看..
· Internet2展示新网络技..
· CIO该怎样为企业制定安..
· 与微软互通使Novell业..

订阅技术快讯

电子杂志下载

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

名称：Vista精品应用黄皮书
简介：《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版，是将里面的内容做了提取，便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册，并且也是第一本

名称：2006中国IT论坛精品集合
简介：本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛（网站）。制作本书的目的是为了集中大家的优势资源，将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。

专题

· McWill、WiMAX、3G博弈
· 网管系统介绍
· 网络管理系统如何支撑I..
· CISSP认证成长之路
· 51CTO国庆充电专题之好..
· 网络技术经典基础教程
· 51CTO主编推荐经典专题
· RAID——磁盘阵列基础

Java编程开发手册

Java基础教程

· Java基础教程
· VPN技术
· ARP攻击防范与解决方案
· SQL Server 2005全解
· SOA 面向服务架构
· SQL Server 2005全解
· Java编程开发手册
· RAID——磁盘阵列基础

· 三层交换技术专题
· SQL Server入门到精通
· Windows Server 2003企..
· Windows远程桌面应用
· C#技术开发指南
· VPN技术
· C#技术开发指南
· Solaris 10 配置管理

Java编程开发手册

Java基础教程

· ARP攻击防范与解决方案
· VPN技术
· SQL Server 2005全解
· Java基础教程
· SQL Server入门到精通
· SQL Server 2005全解
· SOA 面向服务架构
· Java编程开发手册

· C#技术开发指南
· 三层交换技术专题
· C#技术开发指南
· Windows远程桌面应用
· RAID——磁盘阵列基础
· Windows Server 2003企..
· 邮件服务器专题
· wimax技术与趋势

专家

博客

导读

关键字阅读

频道精选

组网建网	安全频道
· 华为、贝恩资本22亿美元.. · NGN:下一代网络 · 网络访问中断大排查	· 教你使用Anti ARP Sniff.. · 网络嗅探教程：使用Snif.. · 常见病毒手工清除方法大..
编程频道	前沿技术
· C++是垃圾语言？！ · 2007年IT界七大抄袭事件 · Java实用开发全集	· 解析Ajax开发框架走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax..
操作系统	服务器
· 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门	· Google推出唯一硬件——.. · 硬盘之父获得诺贝尔物理.. · 理性面对四核服务器选购
数据库	存储频道
· 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教..	· 硬盘之父获得诺贝尔物理.. · 存储2006，一个并购的大.. · IDC宣布浪潮蝉联存储市..

DB2 9技术资源中.. 推荐阅读
·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与..	·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML：如何..
51CTO.com编辑部.. 推荐阅读
·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看..	· ·

张振伦的博客
·虚拟化改变操作系统的角.. ·拯救系统管理员	·美国选民：我为什么选布什 ·VMware公司中文命名挑战赛
王春海的博客
·体验Windows Server 2008.. ·将超星图书转成PDF文档	·使用 Office Communicati.. ·VMware Workstation 6.01..