防止网络资源被非法入侵者破坏,考虑的首要因素就是如何禁止未授权的数据报流进内部Intranet。报文是网络中数据传输的基本单位,在每个报文中记录着报文的源、目ip地址,源、目协议的端口号,若采用的是面向连接的传输协议(例如TCP协议),还有记录发送方或接收方的MAC地址及顺序号等其他控制信息。也正因为如此,网上黑客经常截获网上报文,分析其中数据使之成为攻击网站或Intrant 资源的依据。目前大多数路由器都提供了一种基于报文过滤的访问控制列表(ACL)和网络地址隐藏技术,可以有效地控制数据报的流进流出和防止IP地址的截取,本文就是基于报文格式介绍Intranet资源防护技术。
一、用访问控制列表控制数据流的进出
---- 基于报文过滤的访问控制列表是用控制表中的规则同报文中的诸项进行匹配,决定具有哪些IP地址的计算机及哪些服务请求可以进入,不匹配的将被屏蔽在网络之外。以如下网络结构为例说明。
如让176.68.16.9的计算机进入Intranet,只让188.68.0.0/16 网上的计算机访问文件传输服务器FTP和web服务器3w,可在串口s0上做如下访问控制列表。
access-list 101 permit 176.68.16.9 0.0.0.0
Access-list 101 permit tcp 188.68.0.0 0.0.
255.255 192.68.1.1 0.0.0.0 eq 21
Access-list 101 permit tcp 188.68.0.0 0.0.
255.255 192.68.1.1 0.0.0.0 eq 20
Access-list 101 permit tcp 188.68.0.0 0.0.
255.255 192.68.1.2 0.0.0.0 eq 80
!
interface serial 0
ip access-group 101 in
!
----上101访问控制列表中的第2、3条目是控制对ftps服务器的访问,文件传输服务占用的端口号为20和21,其中20端口用来传送数据,21端口传送FTP命令。第4条目用来控制对3w的访问,http服务占用的端口号为80,它们都是基于TCP协议的高层服务,除它们之外基于TCP协议服务还有telnet和snmp等,它们占用的端口号分别为23和25,如法炮制可以加入对远程登录和网络治理的访问控制。
二、保护Intranet内部的IP地址
----如上所述,数据包中包含有源、目IP地址,一旦内部 Intranet的IP地址被截获,那么内部网络资源就被暴露,并可对其进行攻击,如发大量不被接受的数据包耗尽路由器资源而迫使线路终止等,因此有必要将内部Intranet网络的IP 地址隐藏和防止IP地址的盗用,可以采用如下两种方法实现。
----1.利用路由器的网络地址转换(NAT)实现内部地址的隐藏
----网络地址转换可以动态改变通过路由器的IP报文的源IP 地址和(或)目IP地址,使离开和(或)进入地址与原来不同。该功能可以隐藏内部网络的IP地址,并要求路由器执行NAT,仍以上述网络结构加以说明。
----若想使离开路由器s0的内部地址都转换到有效的IP地址 200.78.16.1~200.78.16.254,可进行如下设置。
Ip nat pool outtran 200.78.16.1 200.78.16.254
netmask 255.255.255.0
Ip nat inside source list 1 pool outtran
!
interface serial 0
ip address 192.68.1.254 255.255.255.0
ip nat inside
!
----2.利用ARP防止盗用内部IP地址
---- 通过ARP可以固定地将IP地址绑定在某一MAC地址之上,MAC地址是机器的物理地址,该地址是网卡出厂时写上的48位唯一的序列码,可以唯一标识网上物理设备。假如只让ftp_server和www_server访问网段2,又要防止 ftp_server和www_server的IP地址被冒名,可以进行如下设置。
Arp 192.68.1.1 0671.0232.0001 arpa
Arp 192.68.1.1 0671.0232.0002 arpa
!
access-list 99 permit 192.68.1.1
access-list 99 permit 192.68.1.1
deny any
!
interface Ethernet 0
ip address 76.68.16.254 255.255.255.0
ip access-group 99 in
!
----如上介绍的两种用路由器保护内部网络的方法引用的是 Cisco路由器的IOS命令,不同路由设备的命令略有不同,可参照进行设置。
