兰溪在线|lanxi.online|兰溪新闻|兰溪在线|兰溪论坛|兰溪信息|兰溪网|兰西网

 找回密码
 立即注册

微信登录

微信扫一扫,快速登录

搜索
热搜: 活动 交友 discuz

社区广播台

查看: 364|回复: 0

路由器设置 莫让ACL的设置形同虚设

[复制链接]

508

主题

508

帖子

1526

积分

金牌会员

Rank: 6Rank: 6

积分
1526
发表于 2019-4-12 10:43:05 | 显示全部楼层 |阅读模式
大家都知道通过在器或交换机上设置访问控制列表ACL,可以在一定程度上起到提高安全,防范黑客与攻击的效果,笔者所在公司也一直在使用这个方法。

然而,笔者却在实际工作中发现了一个影响安全的问题,如果对器的默认设置不注意的话,很可能会让强大的ACL列表失效,就好比二战的马其诺防线一样,与黑客可以非常轻松地绕道攻击内网计算机。

安全分析:

有过器配置经验的读者应该知道管理员经常通过在器或交换机上设置访问控制列表来完成防范和黑客的作用。Cio出品的器或交换机的访问控制列表都默认在结尾添加了“DENY ANY ANY”语句,这句话的意思是将所有不符合访问控制列表(ACL)语句设定规则的数据包丢弃。

最近笔者所在公司添置了华为的2621系列路由器,一般情况下CISCO和华为设备的配置方法基本相同,所以笔者按照在Cisco路由器上的设置语句制定了ACL规则,并将这些规则输入到华为路由器上。由于CIO默认自动添加DENY ANY ANY语句,所以笔者也想当然的认为华为路由器也会默认将这个命令添加。然而,在配置后却发现所有ACL过滤规则都没有生效,该过滤的数据包仍然被器正常转发。

经过反复研究、查询资料,笔者发现原来华为公司的访问控制列表在结尾处添加的是“PERMIT ANY ANY”语句,这样对于不符合访问控制列表(ACL)语句设定规则的数据包将容许通过,这样造成了一个严重后果,那就是不符合ACL设定规则的数据包也将被器无条件转发而不是Cio公司采用的丢弃处理,这造成了该过滤的数据包没有被过滤,网内安全岌岌可危。非法数据包绕过了管理员精心设置的防“马其诺防线”,从而轻而易举的侵入了用户的内网。

解决措施:

如何解决这个问题呢?这个问题是因为华为路由器的默认设置造成的。我们可以在ACL的最后添加上“DENY ANY ANY”语句或将默认的ACL结尾语句设置为DENY ANY ANY.头一种方法仅仅对当前设置的ACL生效,以后设置新ACL时路由器还是默认容许所有数据包通过;而第二种方法则将修改
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

快速回复 返回顶部 返回列表