在典型的校园网环境中,路由器一般处于防火墙的外部,负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在校园网安全防线之外,如果路由器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁。
本文将以Cisco2621路由器为例,详细介绍将一台路由器配置为堡垒路由器的实现方法,使之成为校园网抵御外部攻击的第一道安全屏障。
一、基于访问表的安全防范策略
1. 防止外部IP地址欺骗
外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。针对此类问题可建立如下访问列表:
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.0.255.255 any
! 阻止源地址为私有地址的所有通信流。
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
! 阻止源地址为回环地址的所有通信流。
access-list 101 deny ip 224.0.0.0 7.255.255.255 any
! 阻止源地址为多目的地址的所有通信流。
access-list 101 deny ip host 0.0.0.0 any
! 阻止没有列出源地址的通信流。
注:可以在外部接口的向内方向使用101过滤。
2. 防止外部的非法探测
非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。可建立如下访问列表:
access-list 102 deny icmp any any echo
! 阻止用ping探测网络。
access-list 102 deny icmp any any time-exceeded
! 阻止用traceroute探测网络。
注:可在外部接口的向外方向使用102过滤。在这里主要是阻止答复输出,不阻止探测进入。
3. 保护路由器不受攻击
路由器一般可以通过telnet或SNMP访问,应该确保Internet上没有人能用这些协议攻击路由器。假定路由器外部接口serial0的IP为200.200.200.1,内部接口fastethernet0的IP为200.200.100.1。可以生成阻止telnet、SNMP服务的向内过滤保护路由器。建立如下访问列表:
access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23
access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23
access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161
access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161
注: 在外部接口的向内方向使用101过滤。当然这会对管理员的使用造成一定的不便,这就需要在方便与安全之间做出选择。
4. 阻止对关键端口的非法访问
关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口。对这些端口的访问应该加以限制,否则这些设备就很容易受到攻击。建立如下访问列表:
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 137
access-list 101 deny tcp any any eq 138
access-list 101 deny tcp any any eq 139
access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 137
access-list 101 deny udp any any eq 138
access-list 101 deny udp any any eq 139
5. 对内部网的重要服务器进行访问限制
对于没有配备专用防火墙的校园网,采用动态分组过滤技术建立对重要服务器的访问限制就显得尤为重要。对于配备了专用防火墙的校园网,此项任务可以在防火墙上完成,这样可以减轻路由器的负担。无论是基于路由器实现,还是在防火墙上完成设置,首先都应该制定一套访问规则。可以考虑建立如下的访问规则:
● 允许外部用户到Web服务器的向内连接请求。
● 允许Web服务器到外部用户的向外答复。
● 允许外部SMTP服务器向内部邮件服务器的向内连接请求。
● 允许内部邮件服务器向外部SMTP服务器的向外答复。
● 允许内部邮件服务器向外DNS查询。
● 允许到内部邮件服务器的向内的DNS答复。
● 允许内部主机的向外TCP连接。
● 允许对请求主机的向内TCP答复。
其他访问规则可以根据各自的实际情况建立。列出允许的所有通信流后,设计访问列表就变得简单了。注意应将所有向内对话应用于路由器外部接口的IN方向,所有向外对话应用于路由器外部接口的OUT方向。
| 共2页: 1 [2] 下一页 | ||||
|
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 |
· Apache技术专题 · 国际文档格式标准开战 · 路由器设置与口令恢复 · 打造安全服务器 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 · ADSL应用面面俱到 |
|||
|
||||
| · iSCSI应用与发展 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · iSCSI应用与发展 · 三层交换技术专题 · Apache技术专题 |
· 企业数据恢复指南 · RAID——磁盘阵列基础 · 路由器设置与口令恢复 · SOA 面向服务架构 · ADSL应用面面俱到 · ADSL应用面面俱到 · 反垃圾邮件技术应用 · 访问控制列表(ACL)介绍 |
|||
