图2
根据这2个拓扑结构样例,可以决定网络是否应在一个内部接口或是在一个外部接口上配置CBAC。如果防火墙只有2条连接,一条是到内部网络,另外一条是到外部网络,那么只能使用入方向的访问控制列表就可以了,因为数据包在有机会影响路由器之前已经被过滤了。
3.防火墙配置
当用户用Cisco IOS配置任何IP防火墙时可参照下面给出的一些基本的配置指南CISCO路由器,cisco。
特别要注意的是,CBAC只能用于IP数据流。尽管一个拒绝所以不属于受CBAC所审查的连接一部分的IP数据流的访问控制列表看起来比较安全,但它对路由器的精确运行不太现实。路由器期望能够看到来自网络中其他路由器的ICMP数据流。ICMP数据流不能被CBAC所审查,所以应在防护控制列表中设置特定的条目以允许返回的ICMP数据流。如在受保护网络中的一个用户要用“Ping”命令来猎取位于不受保护网络中的一台主机的状态,如果在访问控制列表中没有允许“echoreply”消息的条目,则在受保护网络中的这位用户就得不到其“Ping”命令的相应。下面所示的配置中含有允许关键ICMP消息的访问控制列表条目:
Router(config)#access -list 101 permit icmp any any echo-reply
Router(config)#access -list 101 permit icmp any any time-execeeded
Router(config)#access -list 101 permit icmp any any packet-too-big
Router(config)#access -list 101 permit icmp any any traceroute
Router(config)#access -list 101 permit icmp any any UnreaChable
(2).在访问控制列表中添加一个拒绝所有冒用受保护网络中地址的外来数据流的条目。这被称作防欺骗保护,因为它可以防止来自不受保护网络的数据流假冒保护网络中某个设备的身份。
(3).在访问控制列表增加一个拒绝源地址为广播地址(255.255.255.255)数据包的条目。该条目可以防止广播攻击。如在FTP会话中,控制信道(通常是TCP端口21)和数据信道(通常是TCP端口20)的状态变化都市被监视,但只有控制信道才会被审查CISCO路由器,cisco。因为“enableesecret”命令使用了一种更强的加密算法。
(5).在控制台端口上设置一个口令,至少应配置“login”和“password”命令。
(6).在以任何方法将控制台连接到网络上(包括在该端口上连接一个调制解调器)之前,应认真考虑访问控制事宜CISCO路由器,cisco。要明白,在重启防火墙路由器时通过在控制台端口上“break”键就可以获得对它的完全控制权,即使配置了访问控制也无法阻止。
[ > 关于HISENSE防火墙系统中的CISCO路由报告 ] (7).对所有的虚拟终端端口应用访问控制列表和口令保护。用“access -class”命令指定的访问可以通过telnet登录到路由器上。
(8).不要启用用不到的任何本地办事(如SNMP或网络时间协议NTP)。Cisco发现吸引CDP(Cisco Discovery Protocol)和NTP的缺省是打开的,如果不使用的话就应该把它们关了。
(9).任何被启用的办事都有可能带来潜在的安全风险CISCO路由器,cisco。一个坚决的、有恶意的团体有可能会摸索出滥用所启用办事的方法来访问防火墙或网络。对于被启用的本地办事,,可以通过将它们配置为只与特定的对等体进行通信来防止被滥用,并通过在特定的接口上配置访问控制列表来拒绝对这些办事的访问数据包来保护自己。
(10).关了低端口办事。对于IP可以输入“noservicetcp-small-servers”和“noserviceudp-small-servers”全局配置命令。在Cisco IOS版本12.0及后续版本中,这些办事缺省便是关了的。
(11).通过在任何异步telnet端口上配置访问控制列表来防止防火墙被用作中继跳板。
(12).通常情况下,应该在防火墙和所有其他路由器上关了对任何可应用协议的定向广播功能。对于IP协议,可使用no中“directed -broadcast”命令。在极少数情况下,有些IP网络确实需要定向广播功能,在这种情况下就不能关了定向广播功能,定向广播可以被滥用来放大拒绝办事攻击的力量,因为每个Dos数据包都市被广播到同一子网的所有主机。另外,有些主机在处理广播时还存在有其他固有的安全风险。
(13).配置“noproxy -arp”命令来防止内部地址被暴露(如果没有配置NAT来防止内部地址被暴露的话,这么做是非常必要的)。当网络攻击者想一台办事器提倡了SYN包风暴攻击。
Cisco在2002年新版的考试改革中,增加不少模拟实验题,大大提高考试难度。
(14).将防火墙防在一个安全的地区内。为了配合Cisco考试范例的调整,国外不少专业认证考试公司推出林林总总的CISCO实验模拟器,比较出名的有思科网
相关视频
相关阅读 CISCO路由器ADSL PPPOE的配置教程恢复Cisco路由器密码方法介绍CISCO路由器配置手册-交换机间链路CISCO思科路由器虚拟局域网(VLAN)配置手册CISCO路由器配置手册-PSTNCISCO路由器配置手册-HDLCCISCO路由器配置手册CISCO路由器初始配置简介
热门文章 携号转网什么时候实行谷歌浏览器“Adobe Fl2015双11怎么抢红包_2odysseusota4win图文教
最新文章
2022蚂蚁庄园6月22日今2022蚂蚁庄园6月21日今
2022蚂蚁庄园6月20日今日答案 度量衡是我国2022蚂蚁庄园6月17日今日答案 夏季甜品烧仙2022蚂蚁庄园6月16日今日答案 为了减肥每天2022蚂蚁庄园6月15日今日答案 卫生纸和面巾
人气排行 B站答题答案大全 哔哩哔哩答题答案2019弹幕ipad3和ipad2的8大区别nfc功能是什么 nfc怎么用 NFC功能的手机有哪全国青少年禁毒知识竞赛在线答题 全国青少年bd版是什么意思?bd版和dvd版哪个好?手机cpu天梯图2020最新版11月 手机cpu性能天BD职位是什么?BD职业解析!硬盘划分主分区、扩展分区、逻辑分区、活动
查看所有0条评论>>