日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

保護(hù)網(wǎng)絡(luò)從路由器做起--淺談CISCO路由器安全配置

云知道

【保護(hù)網(wǎng)絡(luò)從路由器做起--淺談CISCO路由器安全配置】基本的CISCO路由器安全配置
路由器是網(wǎng)絡(luò)中的神經(jīng)中樞,廣域網(wǎng)就是靠一個(gè)個(gè)路由器連接起來組成的,局域網(wǎng)中也已經(jīng)普片的應(yīng)用到了路由器,在很多企事業(yè)單位,已經(jīng)用到路由器來接入網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通訊了,可以說,曾經(jīng)神秘的路由器,現(xiàn)在已經(jīng)飛入平常百姓家了.
隨著路由器的增多,路由器的安全性也逐漸成為大家探討的一個(gè)熱門話題了,巖冰今天也講一講網(wǎng)絡(luò)安全中路由器的安全配置吧.以下文章是本人在工作過程中所記錄的學(xué)習(xí)筆記,今天整理出來,跟大家共享,也算是拋磚引玉吧.
1.配置訪問控制列表:
使用訪問控制列表的目的就是為了保護(hù)路由器的安全和優(yōu)化網(wǎng)絡(luò)的流量.訪問列表的作用就是在數(shù)據(jù)包經(jīng)過路由器某一個(gè)端口時(shí),該數(shù)據(jù)包是否答應(yīng)轉(zhuǎn)發(fā)通過,必須先在訪問控制列表里邊查找,假如答應(yīng),則通過.所以,保護(hù)路由器的前提,還是先考慮配置訪問控制列表吧.
訪問列表有多種形式,最常用的有標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表.
創(chuàng)建一個(gè)標(biāo)準(zhǔn)訪問控制列表的基本配置語法:Access-list access-list-number{denypermit} source [source-wildcard]
注釋:access-list-number是定義訪問列表編號的一個(gè)值,范圍從1--99.參數(shù)deny或permit指定了答應(yīng)還是拒絕數(shù)據(jù)包.參數(shù)source是發(fā)送數(shù)據(jù)包的主機(jī)地址.source-wildcard則是發(fā)送數(shù)據(jù)包的主機(jī)的通配符.在實(shí)際應(yīng)用中,假如數(shù)據(jù)包的源地址在訪問列表中未能找到,或者是找到了未被答應(yīng)轉(zhuǎn)發(fā),則該包將會被拒絕.為了能具體解釋一下,下面是一個(gè)簡單訪問列表示例介紹:
1) access-list 3 permit 172.30.1.0 0.0.0.255 */指明一個(gè)列表號為3的訪問控制列表,并答應(yīng)172.30.1.0這個(gè)網(wǎng)段的數(shù)據(jù)通過.0.0.0.255是通配符.
2) access-list 3 permit 10.1.1.0 0.0.15.255 */答應(yīng)所有源地址為從10.1.0.0到10.1.15.255的數(shù)據(jù)包通過應(yīng)用了該訪問列表的路由器接口.
3) access-list 3 deny 172.31.1.0 0.0.0.255 */拒絕源IP地址為172.31.1.0到172.31.1.255的數(shù)據(jù)包通過該訪問列表.
配置了訪問列表后,就要啟用訪問控制列表,我們可以在接口配置模式下使用access-group或ip access-class命令來指定訪問列表應(yīng)用于某個(gè)接口.使用要害字in(out)來定義該接口是出站數(shù)據(jù)包還是入站數(shù)據(jù)包.
示例:ip access-group 3 in */定義該端口入站數(shù)據(jù)包必須按照訪問列表3上的原則.
由于標(biāo)準(zhǔn)訪問控制列表對使用的端口不進(jìn)行區(qū)別,所以,引入了擴(kuò)展訪問控制列表(列表號從100--199).擴(kuò)展訪問列表能夠?qū)?shù)據(jù)包的源地址,目的地址和端口等項(xiàng)目進(jìn)行檢查,這其中,任何一個(gè)項(xiàng)目都可以導(dǎo)致某個(gè)數(shù)據(jù)包不被答應(yīng)經(jīng)過路由器接口.簡單的配置示例:
1) ip access-list 101 permit tcp any host 10.1.1.2 established log
2) ip access-list 101 permit tcp any host 172.30.1.3 eq www log
3) ip access-list 101 permit tcp any host 172.30.1.4 eq FTP log
4) ip access-list 101 permit tcp any host 172.30.1.4 log
注釋:
第一行答應(yīng)通過TCP協(xié)議訪問主機(jī)10.1.1.2,假如沒個(gè)連接已經(jīng)在主機(jī)10.1.1.2和某個(gè)要訪問的遠(yuǎn)程主機(jī)之間建立,則該行不會答應(yīng)任何數(shù)據(jù)包通過路由器接口,除非回話是從內(nèi)部企業(yè)網(wǎng)內(nèi)部發(fā)起的.第二行答應(yīng)任何連接到主機(jī)172.30.1.3來請求www服務(wù),而所有其他類型的連接將被拒絕,這是因?yàn)樵谠L問列表自動(dòng)默認(rèn)的在列表尾部,有一個(gè)deny any any語句來限制其他類型連接.第三行是拒絕任何FTP連接來訪問172.30.1.4主機(jī).第四行是答應(yīng)所有類型的訪問連接到172.30.1.4主機(jī).
2.保護(hù)路由器的密碼
1)禁用enable passWord命令,改密碼加密機(jī)制已經(jīng)很古老,存在極大安全漏洞,必須禁用,做法是:no enable password
2)利用enable secret命令設(shè)置密碼,該加密機(jī)制是IOS采用了MD5散列算法進(jìn)行加密,具體語法是:enable secret[level level] {passwordencryption-type encrypted-password}

推薦閱讀