将路由配置为抵御攻击第一道安全屏障

1、将路由配置为抵御攻击第一道平安屏障在典型的校园网环境中，路由器一般处于防火墙的外部，负责 与 Internet 的连接。这种拓扑结构实际上是将路由器暴露在校园网安 全防线之外，如果路由器本身又未采取适当的平安防范策略，就可能 成为攻击者发起攻击的一块跳板，对内部网络平安造成威胁。本文将以 Cisco2621 路由器为例，详细介绍将一台路由器配 置为堡垒路由器的实现方法，使之成为校园网抵御外部攻击的第一道 平安屏障。一、基于访问表的平安防范策略1. 防止外部 IP 地址欺骗 外部网络的用户可能会使用内部网的合法 IP 地址或者回环 地址作为源地址，从而实现非法访问。针对此类问题可建立如下访问 列

2、表：access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.0.255.255 any 阻止源地址为私有地址的所有通信流。access-list 101 deny ip 127.0.0.0 0.255.255.255 any阻止源地址为回环地址的所有通信流。access-list 101 deny ip 224.0.0.0 7.255.255.255 any阻止源地址为多目

3、的地址的所有通信流access-list 101 deny ip host 0.0.0.0 any 阻止没有列出源地址的通信流。 注：可以在外部接口的向内方向使用 101 过滤。2. 防止外部的非法探测 非法访问者对内部网络发起攻击前，往往会用 ping 或其他 命令探测网络，所以可以通过禁止从外部用 ping 、traceroute 等探 测网络来进行防范。可建立如下访问列表：access-list 102 deny icmp any any echo阻止用 ping 探测网络。access-list 102 deny icmp any any time-exceeded阻止用 tracer

4、oute 探测网络。注：可在外部接口的向外方向使用 102 过滤。 在这里主要是 阻止答复输出，不阻止探测进入。3. 保护路由器不受攻击路由器一般可以通过 telnet 或 SNMP 访问，应该确保 Internet 上没有人能用这些协议攻击路由器。假定路由器外部接口 serial0 的 IP 为 200.200.200.1 ，内部接口 fastethernet0 的 IP 为 200.200.100.1. 可以生成阻止 telnet 、SNMP 效劳的向内过滤保护路 由器。建立如下访问列表：access-list 101 deny tcp any 200.200.200.1 0.0.0.0

5、eqaccess-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq23access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq161access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq161注： 在外部接口的向内方向使用 101 过滤。当然这会对管 理员的使用造成一定的不便，这就需要在方便与平安之间做出选择。4. 阻止对关键端口的非法访问关键端口可能是内部系统使用的端口或者是防火墙本身暴露 的端口。对这些端口的访问应该加以限制，否那么这些设备就很容

6、易受 到攻击。建立如下访问列表：access-list 101 deny tcp any any eq 135access-list 101 deny tcp any any eq 137access-list 101 deny tcp any any eq 138access-list 101 deny tcp any any eq 139access-list 101 deny udp any any eq 135access-list 101 deny udp any any eq 137access-list 101 deny udp any any eq 138access-list

7、 101 deny udp any any eq 1395. 对内部网的重要效劳器进行访问限制对于没有配备专用防火墙的校园网，采用动态分组过滤技术建立对重要效劳器的访问限制就显得尤为重要。对于配备了专用防火 墙的校园网，此项任务可以在防火墙上完成，这样可以减轻路由器的 负担。无论是基于路由器实现，还是在防火墙上完成设置，首先都应 该制定一套访问规那么。可以考虑建立如下的访问规那么： 允许外部用户到 Web 效劳器的向内连接请求。 允许 Web 效劳器到外部用户的向外答复。 允许外部 SMTP 效劳器向内部邮件效劳器的向内连接请 求。 允许内部邮件效劳器向外部 SMTP 效劳器的向外答复。 允许

8、内部邮件效劳器向外 DNS 查询。 允许到内部邮件效劳器的向内的 DNS 答复。 允许内部主机的向外 TCP 连接。 允许对请求主机的向内 TCP 答复。其他访问规那么可以根据各自的实际情况建立。列出允许的所 有通信流后，设计访问列表就变得简单了。注意应将所有向内对话应 用于路由器外部接口的 IN 方向，所有向外对话应用于路由器外部接 口的 OUT 方向。二、常见攻击手段及其对策1. 防止外部 ICMP 重定向欺骗攻击者有时会利用 ICMP 重定向来对路由器进行重定向，将 本应送到正确目标的信息重定向到它们指定的设备，从而获得有用信 息。禁止外部用户使用 ICMP 重定向的命令如下：inter

9、face serial0 no ip redirects2. 防止外部源路由欺骗源路由选择是指使用数据链路层信息来为数据报进行路由选择。该技术跨越了网络层的路由信息，使入侵者可以为内部网的数据 报指定一个非法的路由，这样原本应该送到合法目的地的数据报就会 被送到入侵者指定的地址。禁止使用源路由的命令如下：no ip source-route3. 防止盗用内部 IP 地址攻击者可能会盗用内部 IP 地址进行非法访问。针对这一问 题，可以利用 Cisco 路由器的 ARP 命令将固定 IP 地址绑定到某一 MAC 地址之上。具体命令如下：arp 固定 IP 地址 MAC 地址 arpa4. 在源站

10、点防止 smurf要在源站点防止 smurf ，关键是阻止所有的向内回显请求。这就要防止路由器将指向网络播送地址的通信映射到局域网播送地 址。可以在 LAN 接口方式中输入如下命令：no ip directed-broadcast三、关闭路由器上不用的效劳路由器除了可以提供路径选择外，它还是一台效劳器，可以 提供一些有用的效劳。路由器运行的这些效劳可能会成为敌人攻击的 突破口，为了平安起见，关闭这些效劳。通过以上介绍的各种方法，我们成功地将一台普通路由器配 置为一台堡垒路由器，在没有增加任何投入的情况下，提高了整个园 区网的平安性。但应该说明的是，堡垒路由器的实现是以牺牲整个网 络的效率为代价

11、的，可能会影响到园区网对外访问的速度。Word是学生和职场人士最常用的一款办公软件之一，99.99% 的人知道它，但其实，这个软件背后，还有一大批隐藏技能你不知道。掌握他们，你将开启新世界的大门。Tab+Enter,在编过号以后，会自动编号段落Ctrl + D 调出字体栏，配合 Tab+Enter 全键盘操作吧Ctrl + L 左对齐， Ctrl + R 右对齐， Ctrl + E 居中Ctrl + F 查找，Ctrl + H 替换。然后关于替换，里面又大有学问！有时候Word文档中有许多多余的空行需要删除，这个时候我们可以完全可以用查找替换来轻松解决。翻开 编辑菜单中的 替换对话框，把光标定位在 查找内容输入