设为首页收藏本站language→→ 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡合作培训机构(排名不分先后)≡□≡ 其他培训机构 上海Easyinlab 用路由器构建网络安全体系
返回列表 发新帖
查看: 1270|回复: 1
收起左侧

用路由器构建网络安全体系

[复制链接]
huangjun6920
发表于 2013-12-8 18:48:54 | 显示全部楼层 |阅读模式
用路由器构造Intranet 防护体系
更多资源请关注鸿鹄论坛:http://bbs.hh010.com
---摘自《计算机世界日报》(文/张国才)
防止网络资源被非法入侵者破坏,考虑的首要因素就是如何禁止未授权的数据报流进内部Intran
et。报文是网络中数据传输的基本单位,在每个报文中记录着报文的源、目IP 地址,源、目协议的端口号,
若采用的是面向连接的传输协议(例如TCP 协议),还有记录发送方或接收方的MAC 地址及顺序号等其他
控制信息。也正因为如此,网上黑客常常截获网上报文,分析其中数据使之成为攻击网站或Intrant 资
源的依据。目前大多数路由器都提供了一种基于报文过滤的访问控制列表(ACL)和网络地址隐藏技术,可
以有效地控制数据报的流进流出和防止IP 地址的截取,本文就是基于报文格式介绍Intranet 资源防护技
术。
一、用访问控制列表控制数据流的进出
---- 基于报文过滤的访问控制列表是用控制表中的规则同报文中的诸项进行匹配,决定具有哪些IP 地址
的计算机及哪些服务请求可以进入,不匹配的将被屏蔽在网络之外。以如下网络结构为例说明。
如让176.68.16.9 的计算机进入Intranet,只让188.68.0.0/16 网上的计算机访问文件传输服务器ftp
和web 服务器3w,可在串口s0 上做如下访问控制列表。
Access-list 101 permit 176.68.16.9 0.0.0.0
Access-list 101 permit tcp 188.68.0.0 0.0.
255.255 192.68.1.1 0.0.0.0 eq 21
Access-list 101 permit tcp 188.68.0.0 0.0.
255.255 192.68.1.1 0.0.0.0 eq 20
Access-list 101 permit tcp 188.68.0.0 0.0.
255.255 192.68.1.2 0.0.0.0 eq 80
!
interface serial 0
ip access-group 101 in
!
----上101 访问控制列表中的第2、3 条目是控制对ftps 服务器的访问,文件传输服务占用的端口号为20
和21,其中20 端口用来传送数据,21 端口传送FTP 命令。第4 条目用来控制对3w 的访问,http 服务占
用的端口号为80,它们都是基于TCP 协议的高层服务,除它们之外基于TCP 协议服务还有telnet 和snmp
等,它们占用的端口号分别为23 和25,如法炮制可以加入对远程登录和网络管理的访问控制。
二、保护Intranet 内部的IP 地址
----如上所述,数据包中包含有源、目IP 地址,一旦内部Intranet 的IP 地址被截获,那么内部网络资
源就被暴露,并可对其进行攻击,如发大量不被接受的数据包耗尽路由器资源而迫使线路终止等,因此有
必要将内部Intranet 网络的IP 地址隐藏和防止IP 地址的盗用,可以采用如下两种方法实现。
----1.利用路由器的网络地址转换(NAT)实现内部地址的隐藏
更多资源请关注鸿鹄论坛:http://bbs.hh010.com
----网络地址转换可以动态改变通过路由器的IP 报文的源IP 地址和(或)目IP 地址,使离开和(或)
进入地址与原来不同。该功能可以隐藏内部网络的IP 地址,并要求路由器执行NAT,仍以上述网络结构加
以说明。
----若想使离开路由器s0 的内部地址都转换到有效的IP 地址200.78.16.1~200.78.16.254,可进行如
下设置。
Ip nat pool outtran 200.78.16.1 200.78.16.254
netmask 255.255.255.0
Ip nat inside source list 1 pool outtran
!
interface serial 0
ip address 192.68.1.254 255.255.255.0
ip nat inside
!
----2.利用ARP 防止盗用内部IP 地址
---- 通过ARP 可以固定地将IP 地址绑定在某一MAC 地址之上,MAC 地址是机器的物理地址,该地址是网
卡出厂时写上的48 位唯一的序列码,可以唯一标识网上物理设备。如果只让ftp_server 和www_server 访
问网段2,又要防止ftp_server 和www_server 的IP 地址被冒名,可以进行如下设置。
Arp 192.68.1.1 0671.0232.0001 arpa
Arp 192.68.1.1 0671.0232.0002 arpa
!
access-list 99 permit 192.68.1.1
access-list 99 permit 192.68.1.1
deny any
!
interface Ethernet 0
ip address 76.68.16.254 255.255.255.0
ip access-group 99 in
!
----如上介绍的两种用路由器保护内部网络的方法引用的是Cisco 路由器的IOS 命令,不同路由设备的
命令略有不同,可参照进行设置。




                               
登录/注册后可看大图
该贴已经同步到 huangjun6920的微博
网络安全, 路由器

相关帖子
回复

使用道具 举报

chenzhongkuan
发表于 2013-12-8 19:43:08 | 显示全部楼层
沙发 2013-12-8 19:43:08 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-1-22 19:13 , Processed in 0.052266 second(s), 11 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表