配置路由器成为你安全防范的堡垒
发布时间:2010/8/20 9:51:55 来源:城市学习网 编辑:ziteng
在典型的校园网环境中,路由器一般处于防火墙的外部,负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在校园网安全防线之外,如果配置路由器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁。
基于访问表的安全防范策略
1. 防止外部IP地址欺骗
外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。针对此类问题可建立如下访问列表:
! 阻止源地址为私有地址的所有通信流。
! 阻止源地址为回环地址的所有通信流。
! 阻止源地址为多目的地址的所有通信流。
! 阻止没有列出源地址的通信流。
注:可以在外部接口的向内方向使用101过滤。
2. 防止外部的非法探测
非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。可建立如下访问列表
! 阻止用ping探测网络。
! 阻止用traceroute探测网络。
注:可在配置路由器外部接口的向外方向使用102过滤。在这里主要是阻止答复输出,不阻止探测进入。
