| |
安全警钟:让路由器成为你防范的堡垒 |
出处:ChinaUnix.net |
|
| [ 2005-09-01 10:03:17
] |
作者:ChinaUnix.net
|
责任编辑:moningfeng |
在典型的校园网环境中,路由器一般处于防火墙的外部,负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在校园网安全防线之外,如果路由器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁。 本文将以Cisco2621路由器为例,详细介绍将一台路由器配置为堡垒路由器的实现方法,使之成为校园网抵御外部攻击的第一道安全屏障。
一、基于访问表的安全防范策略
1. 防止外部IP地址欺骗
外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。针对此类问题可建立如下访问列表:
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.0.255.255 any
阻止源地址为私有地址的所有通信流。
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
阻止源地址为回环地址的所有通信流。
access-list 101 deny ip 224.0.0.0 7.255.255.255 any
阻止源地址为多目的地址的所有通信流。
access-list 101 deny ip host 0.0.0.0 any
阻止没有列出源地址的通信流。
注:可以在外部接口的向内方向使用101过滤。
|
