当前位置:中国飞客联盟文章中心黑客技术入侵检测 → 配置Cisco路由器的安全考虑

配置Cisco路由器的安全考虑

减小字体 增大字体 作者:佚名  来源:不详  发布时间:2008-6-16 16:42:06

如何配置路由器是事关网络安全的核心问题,在配置时,不仅要满足其互联互通的基本功能,更重要的是要融入一些基于网络安全性的考虑,真正使其成为维护网络安全的一道屏障。下面就将本人学习过程中一些基于安全性的考虑与大家共勉。 tUA海岸线网络安全资讯站
  Cisco系列路由器一般有Consle Aux 和Ethernet口可登录到路由器对其进行配置,这为网络管理员对其进行管理提供了很大的方便,同时也给不速之客提供了可乘之机。为了拒不速之客于门外,应该通过给相应的端口加上口令实施最基本的安全控制。具体配置如下:tUA海岸线网络安全资讯站
  Cisco3640(config)#line vty 0 4tUA海岸线网络安全资讯站
  Cisco3640(configline)#logintUA海岸线网络安全资讯站
  Cisco3640(configline)#password xxxxxxxtUA海岸线网络安全资讯站
  Cisco3640(config)#line aux 0tUA海岸线网络安全资讯站
  Cisco3640(configline)#logintUA海岸线网络安全资讯站
  Cisco3640(configline)#password xxxxxxxtUA海岸线网络安全资讯站
  Cisco3640(config)#line con 0tUA海岸线网络安全资讯站
  Cisco3640(configline)#password xxxxxxxtUA海岸线网络安全资讯站
  其次,对超级用户密码的设置成为拒不速之客于门外的第二道屏障,可以防止配置被修改,具体配置如下:tUA海岸线网络安全资讯站
  Cisco3640#conf termtUA海岸线网络安全资讯站
  Cisco3640(config)#enable secret xxxxxxxtUA海岸线网络安全资讯站
  有了这些配置,您起码可以禁闭门户,有效地防止不速之客的暗访了。当然,这只是众多安全措施中最基本的一步,要想寻求全方位的安全防护还应另找门路。有的放矢选择限制。 tUA海岸线网络安全资讯站
  若要在大量进进出出的信息中分清 "敌我",还要在"滤包"的环节上做文章。所谓的包过滤,简而言之,就是拒绝含有非法IP的源或目的地址通过路由器的Serial或其他端口进行某些非法访问,同时让合法的信息包无条件进出。要实现这一步,Cisco系列路由器所支持的访问列表功能可使你得心应手。 tUA海岸线网络安全资讯站
  首先举例来说明基本访问列表对源地址的控制,网络拓扑结构如下图所示。 tUA海岸线网络安全资讯站
   tUA海岸线网络安全资讯站
  tUA海岸线网络安全资讯站
  Cisco3640#config term tUA海岸线网络安全资讯站
  Cisco3640(config)#accesslist tUA海岸线网络安全资讯站
  1permit ip 10.10.11.2 tUA海岸线网络安全资讯站
  Cisco3640(config)#accesstUA海岸线网络安全资讯站
  list 2 permit ip 9.123.45.2 tUA海岸线网络安全资讯站
  Cisco3640(config)#accesstUA海岸线网络安全资讯站
  list 3 permit ip 9.123.46.2 tUA海岸线网络安全资讯站
  有了具体的访问列表,还必须作用于相应的物理端口才会起作用。即:tUA海岸线网络安全资讯站
  Cisco3640(config)#int e0/0tUA海岸线网络安全资讯站
  Cisco3640(configif)#ip tUA海岸线网络安全资讯站
  accessgroup 1 intUA海岸线网络安全资讯站
  Cisco3640(config)#int s0tUA海岸线网络安全资讯站
  Cisco3640(configif)#ip tUA海岸线网络安全资讯站
  accessgroup 2 intUA海岸线网络安全资讯站
  Cisco3640(config)#int s1tUA海岸线网络安全资讯站
  Cisco3640(configif)#ip tUA海岸线网络安全资讯站
  accessgroup 3 intUA海岸线网络安全资讯站
  这样一来,对于一号路由器的以太网口来说,只有来自源地址为10.10.11.2的信息包( 即PC1)才可以进入此端口,通过路由器与外部进行通信,而来自其他地址的信息包均被拒绝进入。有了这一级防护,既切断了"黑客"的后路,也明确了合法者的权限。很明显,PC1局域网段内除PC1外的其他PC机和服务器对于PC2 和PC3来说等同于不存在,他们是无法"看"到的。这样就从另一侧面增强了系统的安全性。 tUA海岸线网络安全资讯站
  下面再看看扩展访问列表的相关应用。 tUA海岸线网络安全资讯站
  路由器所支持的扩展访问列表可以对目的地址、源地址和应用程序端口等诸多因素进行指定和限制,有针对性的对不安全因素进行控制,全方位提高网络的安全性。如下例:tUA海岸线网络安全资讯站
  Cisco3640#config termtUA海岸线网络安全资讯站
  Cisco3640(config)#accesstUA海岸线网络安全资讯站
  list 110 permit ip 10.10.11.2 9.123.45.2 tUA海岸线网络安全资讯站
  Cisco3640(config)#accesstUA海岸线网络安全资讯站
  list 110 permit udp gt tUA海岸线网络安全资讯站
  1023 10.10.11.2 9.123.46.2 eq 53tUA海岸线网络安全资讯站
  Cisco3640(config)#accesstUA海岸线网络安全资讯站
  list 110 permit icmp any any eq echoreplytUA海岸线网络安全资讯站
  Cisco3640(config)#access 111 tUA海岸线网络安全资讯站
  deny tcp any 10.10.11.2 eq telnettUA海岸线网络安全资讯站
  Cisco3640(config)#int e0/0tUA海岸线网络安全资讯站
  Cisco3640(configif)#ip accessgroup 110 intUA海岸线网络安全资讯站
  Cisco3640(config)#int s0/0tUA海岸线网络安全资讯站
  Cisco3640(configif)#ip accessgroup 111 intUA海岸线网络安全资讯站
  Cisco3640(configif)#exittUA海岸线网络安全资讯站
  Cisco3640(config)#exittUA海岸线网络安全资讯站
  Cisco3640#tUA海岸线网络安全资讯站
  第一条配置只允许来自10.10.11.2,去往 9.123.45.2的IP包通过相应端口。第二条配置允许使用客户源端口方式的主机发往 9.123.46.2 地址且目的端口为 53的UDP报文通过。第三条配置允许作为Ping命令回应请求的应答报文通过相应端口,而不限制源和目的地址。第四条配置将禁止任何到PC1的远程登录。将这样的访问列表作用于相应端口,提高了系统的安全性。但在使用访问列表的时候应该注意以下几点。每一个访问列表的最后都隐含着"Deny all"语句,这就意味着,如不做特殊考虑,除"Permit"条件允许的部分外,其他地址都被拒绝,这将使某些合法者也被拒绝。其次,除非使用命名访问列表,在对列表进行修改时,必须将原有列表删除后重新建立,否则将毫无意义。最后,一定要注意列表中各表项的顺序,因为访问列表采用顺序匹配执行的原则,一旦相关项得到匹配,其后的有关项将不再执行,致使访问列表不能完全生效。tUA海岸线网络安全资讯站

[] [返回上一页] [打 印]

文章评论评论内容只代表网友观点,与本站立场无关!

频道栏目导航

站长推荐

本类热门阅览

站长推荐

相关文章

站长推荐