亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

登錄論壇 | 注冊會員 設(shè)為首頁 | 收藏本站
當前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文
 
使用Cisco IOS阻止外向IP地址欺騙

http://www.yibo1263.com 2008-11-19 7:56:07  來源:東北IT網(wǎng)  編輯:葉子
 
  以前,我們討論了從入向Internet連接中將欺騙通信過濾掉的重要性但是,入向欺騙并不只是唯一的威脅。實際上,阻止出向欺騙也是同樣的重要。

  這一次,讓我們來看看如何保護系統(tǒng)免受來自其他方向的威脅——阻止欺騙性IP數(shù)據(jù)包,以及其他有害通訊從本地的網(wǎng)絡(luò)發(fā)往Internet.你可不希望你的網(wǎng)絡(luò)成為一個惡意活動的庇護所,對吧?

  還不錯,在你公司的網(wǎng)絡(luò)上,并沒有發(fā)現(xiàn)任何有關(guān)的惡意活動。但是這不意味著它未來不會發(fā)生。下面是一些你希望阻止的常見惡意行為:

  ◆面向Internet的朝外IP欺騙數(shù)據(jù)

  ◆以單臺電腦作為SMTP服務(wù)器,直接發(fā)往互聯(lián)網(wǎng)的電子郵件

  ◆從公司內(nèi)部發(fā)出的,以電子郵件或者其他端口作為傳播手段的病毒或者蠕蟲

  ◆對你的互聯(lián)網(wǎng)路由器發(fā)動的黑客攻擊

  阻止外向IP地址欺騙

  正如我在先前文章中提到的,有些指定的IP地址,公司應(yīng)當避免將其用于在Internent上的通訊。

  10.0.0.0/8

  172.16.0.0/12

  192.168.0.0/16

  127.0.0.0/8

  224.0.0.0/3

  169.254.0.0/16

  240.0.0.0/4

  如果有通訊使用了上述IP地址的話,那么十有八九就是虛假的,并且是惡意的。所以你不僅要阻止來自互聯(lián)網(wǎng)的,源地址屬于上述這些IP地址范圍內(nèi)的通信,同時也要阻止這個范圍內(nèi)的IP通信發(fā)往互聯(lián)網(wǎng)。

  要做到這一點,首先應(yīng)當在路由器上建立一個出口ACL(存取權(quán)限控制列表)過濾器,并對通往互聯(lián)網(wǎng)的接口應(yīng)用該ACL.表格A提供了一個示例。

  它阻止了任何來自公司網(wǎng)絡(luò)中,指定IP地址范圍內(nèi)的通信。正如我在關(guān)于內(nèi)向IP欺騙文章中所提到的,要想保護網(wǎng)路免遭IP地址欺騙,另一個辦法就是反向路徑轉(zhuǎn)發(fā)或者是IP校驗。要想阻擋外向通訊,你將使用路由器的快速以太0/0接口,而不是串行接口。

  除了阻止來自公司網(wǎng)絡(luò)中的欺騙性IP地址數(shù)據(jù)包之外,還有很多其他步驟你也應(yīng)當采取,以防止惡意用戶利用你的網(wǎng)絡(luò)。

  禁止單臺PC使用SMTP向互聯(lián)網(wǎng)直接發(fā)送電子郵件

  你可不希望有人利用公司的網(wǎng)絡(luò)發(fā)送垃圾信。要想阻止這個,你的防火墻應(yīng)當不允許網(wǎng)上的電腦直接和互聯(lián)網(wǎng)的任何端口直接通信。

  換句話說,你應(yīng)當控制何種通訊可以直接從你的互聯(lián)網(wǎng)連接上發(fā)送出去。假設(shè)你的公司有一臺內(nèi)部電子郵件服務(wù)器,所有的SMTP通訊都應(yīng)當來自于這臺內(nèi)部服務(wù)器,而不是來自于其他任何一臺內(nèi)部網(wǎng)上的電腦。

  你可以通過讓防火墻(起碼也該使用ACL)僅允許指定目標端口發(fā)往Internet,從而保證我說剛才說到的這一點。舉例來說,絕大多數(shù)公司僅需允許所有電腦使用互聯(lián)網(wǎng)上的80端口,以及443端口。

  防止來自公司內(nèi)部的病毒或者蠕蟲向外傳播

  通過控制局域網(wǎng)上客戶端用于和互聯(lián)網(wǎng)進行通訊的端口,你有很多方法可以阻止病毒和蠕蟲的傳播。但是,僅僅限制了端口還不夠,因為惡意用戶常?梢哉业椒椒ɡ@過端口限制。

  要想更深入的阻止病毒和蠕蟲,可以考慮使用一些UTM設(shè)備,比如Cisco的ASA或者Fortinet.既然標稱為“anti-X”設(shè)備,這兩者都可以阻擋大量的安全威脅。

  阻止對你的互聯(lián)網(wǎng)路由器的攻擊

  要保護你的路由器,就要確保你已經(jīng)在你的Cisco路由器上配置了SSH,設(shè)置了一個ACL,定義了你的管理控制臺的源IP地址,并運行了 Cisco的SDM(安全設(shè)備管理器,Security Device Manager)安全審核功能,以確保你不會漏過任何一個常見的安全漏洞。

  要記住:保證你的網(wǎng)絡(luò)免受來自互聯(lián)網(wǎng)上攻擊的確重要,但是阻止這些攻擊者利用你的網(wǎng)絡(luò)做壞事也是同樣的重要。這四個方法可以讓你在這一點上獲得更多的保證。
 
收藏】【打印】【進入論壇
  相關(guān)文章:

·用Cisco IOS路由器實現(xiàn)Web內(nèi)容過濾
·用Cisco IOS路由器實現(xiàn)Web內(nèi)容過濾 
·使用Cisco IOS實現(xiàn)網(wǎng)頁內(nèi)容過濾

 
 
 
 
最新文章

中關(guān)村艷照門女主角詳記錄高清組圖 
iPhone女孩微博爆紅 最寶貴東西換iPhon
大連護士門大尺度艷照高清組圖
反恐精英之父內(nèi)維爾:改變電腦游戲銷售
團購網(wǎng)站黎明之前:中國市場慘烈廝殺不
團購鼻祖Groupon中國揭秘:快與慢的商業(yè)
聯(lián)想V360筆記本模特寫真
愛國者第四代移動硬盤將面市、低電壓保
24臺液晶白拿! 三星“紅韻”顯示器試用
改善的UAC Windows7安全性再次提升

 
推薦文章
1
2
3
4
5
6
7
8
9
10
iPhone女孩微博爆紅 最寶貴東西換
大連護士門大尺度艷照高清組圖
中關(guān)村艷照門女主角詳記錄高清組
蘋果員工中毒門
宮如敏不雅照瘋傳 看張馨予韓一菲
深耕市場 永續(xù)經(jīng)營——專訪百腦匯
優(yōu)派專業(yè)電子書 讓您回家旅途多姿
揭曉百萬大獎三星bada魅力綻放中
大明龍權(quán)“江湖英雄會”全國PK大
永恒之塔校園達人挑戰(zhàn)賽完美落幕
八卦圖解 More>>
iPhone女孩微博爆紅 最寶貴東西換 大連護士門大尺度艷照高清組圖
中關(guān)村艷照門女主角詳記錄高清組 宮如敏不雅照瘋傳 看張馨予韓一菲
吉水县| 衢州市| 牡丹江市| 仙居县| 许昌市| 调兵山市| 天全县| 神农架林区| 白朗县| 云阳县| 晋城| 邵阳县| 南阳市| 台北市| 华坪县| 平谷区| 苏尼特左旗| 内黄县| 澜沧| 孟村| 桃江县| 巴林右旗| 扬州市| 巢湖市| 固安县| 江口县| 卓尼县| 巴青县| 重庆市| 乐亭县| 明星| 佛学| 垫江县| 柏乡县| 古交市| 宜章县| 东光县| 海淀区| 永顺县| 彭阳县| 公安县|