兰溪在线|lanxi.online|兰溪新闻|兰溪在线|兰溪论坛|兰溪信息|兰溪网|兰西网

 找回密码
 立即注册

微信登录

微信扫一扫,快速登录

搜索
热搜: 活动 交友 discuz

社区广播台

查看: 440|回复: 0

让你的路由器安全性固若金汤

[复制链接]

508

主题

508

帖子

1526

积分

金牌会员

Rank: 6Rank: 6

积分
1526
发表于 2019-4-12 10:37:11 | 显示全部楼层 |阅读模式
在我们的学习和工作中,路由器的使用无处不在,那么对于配置器安全,我们要怎么去配置呢,就让我们看看这篇文章是如何给大家介绍的。
在典型的校园网环境中,路由器一般处于墙的外部,负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在校园网安全防线之外,如果配置器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部造成威胁。
基于访问表的安全防范策略
1. 防止外部IP地址欺骗
外部的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。针对此类问题可建立如下访问列表:
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.0.255.255 any
! 阻止源地址为私有地址的所有通信流。
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
! 阻止源地址为回环地址的所有通信流。
access-list 101 deny ip 224.0.0.0 7.255.255.255 any
! 阻止源地址为多目的地址的所有通信流。
access-list 101 deny ip host 0.0.0.0 any
! 阻止没有列出源地址的通信流。
注:可以在外部接口的向内方向使用101过滤。
2. 防止外部的非法探测
非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用ping、traceroute等探测来进行防范。可建立如下访问列表:
access-list 102 deny icmp any any echo
! 阻止用ping探测。
access-list 102 deny icmp any any time-exceeded
! 阻止用traceroute探测。
注:可在配置器外部接口的向外方向使用102过滤。在这里主要是阻止答复输出,不阻止探测进入。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

快速回复 返回顶部 返回列表