分享
 
 
 

配置Cisco路由器的安全考虑

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

如何配置路由器是事关网络安全的核心问题,在配置时,不仅要满足其互联互通的基本功能,更重要的是要融入一些基于网络安全性的考虑,真正使其成为维护网络安全的一道屏障。下面就将本人学习过程中一些基于安全性的考虑与大家共勉。

Cisco系列路由器一般有Consle Aux 和Ethernet口可登录到路由器对其进行配置,这为网络治理员对其进行治理提供了很大的方便,同时也给不速之客提供了可乘之机。为了拒不速之客于门外,应该通过给相应的端口加上口令实施最基本的安全控制。具体配置如下:

Cisco3640(config)#line vty 0 4

Cisco3640(configline)#login

Cisco3640(configline)#passWord xxxxxxx

Cisco3640(config)#line aux 0

Cisco3640(configline)#login

Cisco3640(configline)#password xxxxxxx

Cisco3640(config)#line con 0

Cisco3640(configline)#password xxxxxxx

其次,对超级用户密码的设置成为拒不速之客于门外的第二道屏障,可以防止配置被修改,具体配置如下:

Cisco3640#conf term

Cisco3640(config)#enable secret xxxxxxx

有了这些配置,您起码可以禁闭门户,有效地防止不速之客的暗访了。当然,这只是众多安全措施中最基本的一步,要想寻求全方位的安全防护还应另找门路。有的放矢选择限制。

若要在大量进进出出的信息中分清 "敌我",还要在"滤包"的环节上做文章。所谓的包过滤,简而言之,就是拒绝含有非法ip的源或目的地址通过路由器的Serial或其他端口进行某些非法访问,同时让合法的信息包无条件进出。要实现这一步,Cisco系列路由器所支持的访问列表功能可使你得心应手。

首先举例来说明基本访问列表对源地址的控制,网络拓扑结构如下图所示。

Cisco3640#config term

Cisco3640(config)#accesslist

1permit ip 10.10.11.2

Cisco3640(config)#access

list 2 permit ip 9.123.45.2

Cisco3640(config)#access

list 3 permit ip 9.123.46.2

有了具体的访问列表,还必须作用于相应的物理端口才会起作用。即:

Cisco3640(config)#int e0/0

Cisco3640(configif)#ip

accessgroup 1 in

Cisco3640(config)#int s0

Cisco3640(configif)#ip

accessgroup 2 in

Cisco3640(config)#int s1

Cisco3640(configif)#ip

accessgroup 3 in

这样一来,对于一号路由器的以太网口来说,只有来自源地址为10.10.11.2的信息包( 即PC1)才可以进入此端口,通过路由器与外部进行通信,而来自其他地址的信息包均被拒绝进入。有了这一级防护,既切断了"黑客"的后路,也明确了合法者的权限。很明显,PC1局域网段内除PC1外的其他PC机和服务器对于PC2 和PC3来说等同于不存在,他们是无法"看"到的。这样就从另一侧面增强了系统的安全性。

下面再看看扩展访问列表的相关应用。

路由器所支持的扩展访问列表可以对目的地址、源地址和应用程序端口等诸多因素进行指定和限制,有针对性的对不安全因素进行控制,全方位提高网络的安全性。如下例:

Cisco3640#config term

Cisco3640(config)#access

list 110 permit ip 10.10.11.2 9.123.45.2

Cisco3640(config)#access

list 110 permit udp gt

1023 10.10.11.2 9.123.46.2 eq 53

Cisco3640(config)#access

list 110 permit icmp any any eq echoreply

Cisco3640(config)#access 111

deny tcp any 10.10.11.2 eq telnet

Cisco3640(config)#int e0/0

Cisco3640(configif)#ip accessgroup 110 in

Cisco3640(config)#int s0/0

Cisco3640(configif)#ip accessgroup 111 in

Cisco3640(configif)#exit

Cisco3640(config)#exit

Cisco3640#

第一条配置只答应来自10.10.11.2,去往 9.123.45.2的IP包通过相应端口。第二条配置答应使用客户源端口方式的主机发往 9.123.46.2 地址且目的端口为 53的UDP报文通过。第三条配置答应作为Ping命令回应请求的应答报文通过相应端口,而不限制源和目的地址。第四条配置将禁止任何到PC1的远程登录。将这样的访问列表作用于相应端口,提高了系统的安全性。但在使用访问列表的时候应该注重以下几点。每一个访问列表的最后都隐含着"Deny all"语句,这就意味着,如不做非凡考虑,除"Permit"条件答应的部分外,其他地址都被拒绝,这将使某些合法者也被拒绝。其次,除非使用命名访问列表,在对列表进行修改时,必须将原有列表删除后重新建立,否则将毫无意义。最后,一定要注重列表中各表项的顺序,因为访问列表采用顺序匹配执行的原则,一旦相关项得到匹配,其后的有关项将不再执行,致使访问列表不能完全生效。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有