老调重弹，路由器安全设置讲解

技术文章

客服中心

业务咨询

531199185
61352289
81721488
376585780
872642803
459248018
61352288
380791050

技术支持

714236853

719304487

1208894568

61352289

在线客服

531199185

61352288

983054746

893984210

当前位置：首页 >> 技术文章 >> 文章浏览

添加时间：2010-11-14　添加： admin　

在我们的学习和工作中，路由器的使用无处不在，那么对于配置路由器安全，我们要怎么去配置呢，就让伊甸网小编带领大家看看这篇文章是如何给大家介绍的。
　　在典型的校园网环境中，路由器一般处于防火墙的外部，负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在校园网安全防线之外，如果配置路由器本身又未采取适当的安全防范策略，就可能成为攻击者发起攻击的一块跳板，对内部网络安全造成威胁。
　　基于访问表的安全防范策略
　　1. 防止外部IP地址欺骗
　　外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址，从而实现非法访问。针对此类问题可建立如下访问列表：
　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any
　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any
　　access-list 101 deny ip 172.16.0.0 0.0.255.255 any
　　! 阻止源地址为私有地址的所有通信流。
　　access-list 101 deny ip 127.0.0.0 0.255.255.255 any
　　! 阻止源地址为回环地址的所有通信流。
　　access-list 101 deny ip 224.0.0.0 7.255.255.255 any
　　! 阻止源地址为多目的地址的所有通信流。
　　access-list 101 deny ip host 0.0.0.0 any
　　! 阻止没有列出源地址的通信流。
　　注：可以在外部接口的向内方向使用101过滤。
　　2. 防止外部的非法探测
　　非法访问者对内部网络发起攻击前，往往会用ping或其他命令探测网络，所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。可建立如下访问列表:
　　access-list 102 deny icmp any any echo
　　! 阻止用ping探测网络。
　　access-list 102 deny icmp any any time-exceeded
　　! 阻止用traceroute探测网络。
　　注：可在配置路由器外部接口的向外方向使用102过滤。在这里主要是阻止答复输出，不阻止探测进入。

分享到：

【顶部】【关闭】

老调重弹，路由器安全设置讲解

新文章: