亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

　　在典型的校園網(wǎng)環(huán)境中，路由器一般處于防火墻的外部，負(fù)責(zé)與Internet的連接。這種拓?fù)浣Y(jié)構(gòu)實(shí)際上是將路由器暴露在校園網(wǎng)安全防線之外，如果路由器本身又未采取適當(dāng)?shù)陌踩�防范策略，就可能成為攻擊者發(fā)起攻擊的一塊跳板，對(duì)內(nèi)部網(wǎng)絡(luò)安全造成威脅。

　　本文將以Cisco2621路由器為例，詳細(xì)介紹將一臺(tái)路由器配置為堡壘路由器的實(shí)現(xiàn)方法，使之成為校園網(wǎng)抵御外部攻擊的第一道安全屏障。

　　一、基于訪問表的安全防范策略

　　1. 防止外部IP地址欺騙

　　外部網(wǎng)絡(luò)的用戶可能會(huì)使用內(nèi)部網(wǎng)的合法IP地址或者回環(huán)地址作為源地址，從而實(shí)現(xiàn)非法訪問。針對(duì)此類問題可建立如下訪問列表：

　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any

　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any

　　access-list 101 deny ip 172.16.0.0 0.0.255.255 any

　　! 阻止源地址為私有地址的所有通信流。

　　access-list 101 deny ip 127.0.0.0 0.255.255.255 any

　　! 阻止源地址為回環(huán)地址的所有通信流。

　　access-list 101 deny ip 224.0.0.0 7.255.255.255 any

　　! 阻止源地址為多目的地址的所有通信流。

　　access-list 101 deny ip host 0.0.0.0 any

　　! 阻止沒有列出源地址的通信流。

　　注：可以在外部接口的向內(nèi)方向使用101過濾。

　　2. 防止外部的非法探測(cè)

　　非法訪問者對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊前，往往會(huì)用ping或其他命令探測(cè)網(wǎng)絡(luò)，所以可以通過禁止從外部用ping、traceroute等探測(cè)網(wǎng)絡(luò)來進(jìn)行防范�？山�立如下訪問列表:

　　access-list 102 deny icmp any any echo

　　! 阻止用ping探測(cè)網(wǎng)絡(luò)。

　　access-list 102 deny icmp any any time-exceeded

　　! 阻止用traceroute探測(cè)網(wǎng)絡(luò)。

　　注：可在外部接口的向外方向使用102過濾。在這里主要是阻止答復(fù)輸出，不阻止探測(cè)進(jìn)入。

　　3. 保護(hù)路由器不受攻擊

　　路由器一般可以通過telnet或SNMP訪問，應(yīng)該確保Internet上沒有人能用這些協(xié)議攻擊路由器。假定路由器外部接口serial0的IP為 200.200.200.1，內(nèi)部接口fastethernet0的IP為200.200.100.1�？梢陨�成阻止telnet、SNMP服務(wù)的向內(nèi)過濾保護(hù)路由器。建立如下訪問列表：

　　access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23

　　access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23

　　access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161

　　access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161

　　注: 在外部接口的向內(nèi)方向使用101過濾。當(dāng)然這會(huì)對(duì)管理員的使用造成一定的不便，這就需要在方便與安全之間做出選擇。

　　4. 阻止對(duì)關(guān)鍵端口的非法訪問

　　關(guān)鍵端口可能是內(nèi)部系統(tǒng)使用的端口或者是防火墻本身暴露的端口。對(duì)這些端口的訪問應(yīng)該加以限制，否則這些設(shè)備就很容易受到攻擊。建立如下訪問列表：

　　access-list 101 deny tcp any any eq 135

　　access-list 101 deny tcp any any eq 137

　　access-list 101 deny tcp any any eq 138

　　access-list 101 deny tcp any any eq 139

　　access-list 101 deny udp any any eq 135

　　access-list 101 deny udp any any eq 137

　　access-list 101 deny udp any any eq 138

　　access-list 101 deny udp any any eq 139

　　5. 對(duì)內(nèi)部網(wǎng)的重要服務(wù)器進(jìn)行訪問限制

　　對(duì)于沒有配備專用防火墻的校園網(wǎng)，采用動(dòng)態(tài)分組過濾技術(shù)建立對(duì)重要服務(wù)器的訪問限制就顯得尤為重要。對(duì)于配備了專用防火墻的校園網(wǎng)，此項(xiàng)任務(wù)可以在防火墻上完成，這樣可以減輕路由器的負(fù)擔(dān)。無論是基于路由器實(shí)現(xiàn)，還是在防火墻上完成設(shè)置，首先都應(yīng)該制定一套訪問規(guī)則�？梢钥紤]建立如下的訪問規(guī)則:

　　● 允許外部用戶到Web服務(wù)器的向內(nèi)連接請(qǐng)求。