在典型的校園網(wǎng)環(huán)境中，路由器一般處于防火墻的外部，負(fù)責(zé)與Internet的連接 。這種拓?fù)浣Y(jié)構(gòu)實際上是將路由器暴露在校園網(wǎng)安全防線之外，假如路由器本身又未采取適當(dāng)?shù)陌踩婪恫呗?，就可能成為攻擊者發(fā)起攻擊的一塊跳板，對內(nèi)部網(wǎng)絡(luò)安全造成威脅 。
本文將以Cisco2621路由器為例，具體介紹將一臺路由器配置為堡壘路由器的實現(xiàn)方法，使之成為校園網(wǎng)抵御外部攻擊的第一道安全屏障 。
一、基于訪問表的安全防范策略
1. 防止外部IP地址欺騙
外部網(wǎng)絡(luò)的用戶可能會使用內(nèi)部網(wǎng)的合法IP地址或者回環(huán)地址作為源地址，從而實現(xiàn)非法訪問 。針對此類問題可建立如下訪問列表：
Access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.0.255.255 any
! 阻止源地址為私有地址的所有通信流 。
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
! 阻止源地址為回環(huán)地址的所有通信流 。
access-list 101 deny ip 224.0.0.0 7.255.255.255 any
! 阻止源地址為多目的地址的所有通信流 。
access-list 101 deny ip host 0.0.0.0 any
! 阻止沒有列出源地址的通信流 。
注：可以在外部接口的向內(nèi)方向使用101過濾 。
2. 防止外部的非法探測
非法訪問者對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊前，往往會用ping或其他命令探測網(wǎng)絡(luò)，所以可以通過禁止從外部用ping、traceroute等探測網(wǎng)絡(luò)來進(jìn)行防范 ?？山⑷缦略L問列表:
access-list 102 deny icmp any any echo
! 阻止用ping探測網(wǎng)絡(luò) 。
access-list 102 deny icmp any any time-exceeded
! 阻止用traceroute探測網(wǎng)絡(luò) 。
注：可在外部接口的向外方向使用102過濾 。在這里主要是阻止答復(fù)輸出，不阻止探測進(jìn)入 。
3. 保護(hù)路由器不受攻擊
路由器一般可以通過telnet或SNMP訪問，應(yīng)該確保Internet上沒有人能用這些協(xié)議攻擊路由器 。假定路由器外部接口serial0的IP為200.200.200.1，內(nèi)部接口fastethernet0的IP為200.200.100.1 ?？梢陨勺柚箃elnet、SNMP服務(wù)的向內(nèi)過濾保護(hù)路由器 。建立如下訪問列表：
access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23
access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23
access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161
access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161
注: 在外部接口的向內(nèi)方向使用101過濾 。當(dāng)然這會對治理員的使用造成一定的不便，這就需要在方便與安全之間做出選擇 。
4. 阻止對要害端口的非法訪問
要害端口可能是內(nèi)部系統(tǒng)使用的端口或者是防火墻本身暴露的端口 。對這些端口的訪問應(yīng)該加以限制，否則這些設(shè)備就很輕易受到攻擊 。建立如下訪問列表：
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 137
access-list 101 deny tcp any any eq 138
access-list 101 deny tcp any any eq 139
access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 137
access-list 101 deny udp any any eq 138
access-list 101 deny udp any any eq 139
5. 對內(nèi)部網(wǎng)的重要服務(wù)器進(jìn)行訪問限制
對于沒有配備專用防火墻的校園網(wǎng)，采用動態(tài)分組過濾技術(shù)建立對重要服務(wù)器的訪問限制就顯得尤為重要 。
對于配備了專用防火墻的校園網(wǎng)，此項任務(wù)可以在防火墻上完成，這樣可以減輕路由器的負(fù)擔(dān) 。無論是基于路由器實現(xiàn)，還是在防火墻上完成設(shè)置，首先都應(yīng)該制定一套訪問規(guī)則 ?？梢钥紤]建立如下的訪問規(guī)則:
● 答應(yīng)外部用戶到Web服務(wù)器的向內(nèi)連接請求 。
● 答應(yīng)Web服務(wù)器到外部用戶的向外答復(fù) 。

推薦閱讀

• 

  法定繼承人的范圍和順序 第二順序法定繼承人
• 

  如何評價電視動畫DimensionW維度戰(zhàn)記
• 

  印度的誰被稱為亞運(yùn)會之父
• 

  二哈為什么喜歡拆家
• 

  想練力量怎么練
• 

  熊岳城屬于遼寧哪個市 遼寧省熊岳城是哪個市的
• 

  老不出蜀少不入川什么意思
• 

  手動變速箱換擋技巧
• 

  閃點大于60度算危險化學(xué)品嗎
• 

  賽爾號s級技能石怎么得
• 

  考研四個月來得及嗎
• 

  分享百度翻譯中英語發(fā)音設(shè)置如何切換成英式發(fā)音
• 

  教你華為爐石卡包怎么領(lǐng)取。
• 

  廣州到重慶北的高鐵票價多少，廣州到重慶還有多少票
• 

  夜世界氣球兵有用嗎
• 

  重慶長安歐諾二手車，二手長安歐諾201413l2萬公里多少錢 萬州

• Cisco路由器的常見問題大整理
• CISCO路由器設(shè)置的連接
• 思科路由器--基于時間的訪問列表控制
• 棗樹病蟲害如何科學(xué)用藥
• 路由器的選擇原則
• “交換” vs “路由”
• 用Cisco 2621路由器接入寬帶Internet
• 路由器實現(xiàn)線路負(fù)載均衡
• 重啟獵戶座，揭秘vivo“開掛”背后
• 如何選購寬帶路由器