ROS软路由论坛 ROSABC.com 网络方案网络工程交流

 找回密码
 会员注册

QQ登录

只需一步,快速开始

网络安全学习笔记

2014-6-3 14:40| 发布者: admin| 查看: 666| 评论: 0

摘要:   由器是网络中的神经中枢,广域网就是靠一个个由器连接起来组成的,局域网中也已经普片的应用到了由器,在很多企事业单位,已经用到由器来接入网络进行数据通讯了,可以说,曾经神秘的由器,现在已经飞入寻常百姓家了. ...

  [导读]由器是网络中的神经中枢,广域网就是靠一个个由器连接起来组成的,局域网中也已经普片的应用到了由器,在很多企事业单位,已经用到由器来接入网络进行数据通讯了,可以说,曾经神秘的由器,现在已经飞入寻常百姓家了.

  由器是网络中的神经中枢,广域网就是靠一个个由器连接起来组成的,局域网中也已经普片的应用到了由器,在很多企事业单位,已经用到由器来接入网络进行数据通讯了,可以说,曾经神秘的由器,现在已经飞入寻常百姓家了.

  随着由器的增多,由器的安全性也逐渐成为大家探讨的一个热门话题了,岩冰今天也讲一讲网络安全中由器的安全配置吧.以下文章是本人在工作过程中所记录的学习笔记,今天整理出来,跟大家共享,也算是抛砖引玉吧.

  1.配置访问控制列表:

  使用访问控制列表的目的就是为了由器的安全和优化网络的流量.访问列表的作用就是在数据包经过由器某一个端口时,该数据包是否允许转发通过,必须先在访问控制列边查找,如果允许,则通过.所以,由器的前提,还是先考虑配置访问控制列表吧.

  访问列表有多种形式,最常用的有标准访问列表和扩展访问列表.

  给路由器设置密码注释:access-list-number是定义访问列表编号的一个值,范围从1--99.参数deny或permit指定了允许还是数据包.参数source是发送数据包的主机地址.source-wildcard则是发送数据包的主机的通配符.在实际应用中,如果数据包的源地址在访问列表中未能找到,或者是找到了未被允许转发,则该包将会被.为了能详细解释一下,下面是一个简单访问列表示例介绍:

  配置了访问列表后,就要启用访问控制列表,我们可以在接口配置模式下使用access-group或ipaccess-class命令来指定访问列表应用于某个接口.使用关键字in(out)来定义该接口是出站数据包还是入站数据包.

  由于标准访问控制列表对使用的端口不进行区别,所以,引入了扩展访问控制列表(列表号从100--199).扩展访问列表能够对数据包的源地址,目的地址和端口等项目进行检查,这其中,任何一个项目都可以导致某个数据包不被允许经过由器接口.简单的配置示例:

  注释:

  第一行允许通过TCP协议访问主机10.1.1.2,如果没个连接已经在主机10.1.1.2和某个要访问的远程主机之间建立,则该行不会允许任何数据包通过由器接口,除非回话是从内部企业网内部发起的.第二行允许任何连接到主机172.30.1.3来请求www服务,而所有其他类型的连接将被,这是因为在访问列表自动默认的在列表尾部,有一个denyanyany语句来其他类型连接.第三行是任何FTP连接来访问172.30.1.4主机.第四行是允许所有类型的访问连接到172.30.1.4主机.

  2.由器的密码

  举例:

  enablesecret命令允许管理员通过数字0-15,来指定密码加密级别.其默认级别为15.

  为了由器访问控制权限,必须登陆访问由器的主机,针对VTY(telnet)端口访问控制的方法,具体配置要先建立一个访问控制列表,如下示例,建立一个标准的访问控制列表(编号从1--99任意选择):

  该访问列表仅允许以上两个IP地址之一的主机对由器进行telnet访问,注意:创建该列表后必须指定到由器端口某个端口上,具体指定方法如下:

  以上配置是入站到E0端口的telnet示例,出站配置采用out,在这里将不再详细赘述.为了由器的安全设置,也可以其telnet访问的权限,比如:通过分配管理密码来一个管理员只能有使用show命令的配置如下:

  给其分配密码为123456,telnet进入由器后,只能用show命令,其他任何设置权限全部被.另外,也可以通过访问时间来所有端口的登陆访问情况,在超时的情况下,将自动断开,下面是一个配置所有端口访问活动3分30秒的设置示例:

  CDP(CiscoDiscoveryProtocol)CISCO查找协议,该协议存在CISCO11.0以后的IOS版本中,都是默认启动的,他有一个缺陷就是:对所有发出的设备请求都做出应答.这样将到由器的泄密情况,因此,必须其运行,方法如下:

  管理员也可以指定某端口的CDP,比如:为了让由器内部网络使用CDP,而由器对外网的CDP应答,可以输入以下接口命令:

  现在许多CISCO设备,都允许使用WEB界面来进行控制配置了,这样可以为初学者提供方便的管理,但是,在这方便的背后,却隐藏了很大的危机,为了能够配置好HTTP服务,本文也提一下如何配置吧.

  使用iphttpserver命令可以打开HTTP服务,使用noiphttpserver命令可以关闭HTTP服务.为了安全考虑,如果需要使用HTTP服务来管理由器的话,最好是配合访问控制列表和AAA认证来做,也可以使用enablepassword命令来控制登陆由器的密码.具体的配置是在全局模式下来完成的,下面是我们创建一个简单的标准访问控制列表配合使用HTTP服务的示例:

  6.写在最后的话

  由器并不是这样简单的事情,在很多实际应用中,还需要很多辅助配置.为了由器,各种各样的安全产品都相继出现,比如给由器添加硬件防火墙,配置AAA服务认证,设置IDS入侵检测等等吧.为了由器的安全稳定工作,我要告诉大家最重要的还是配置最小化IOS,没有服务的设备,肯定没有人能够入侵,最小化的服务就是我们最大化的安全.

  在如今这个信息爆炸的时代里,每天都会有数不清的新闻通过各种渠道涌到我们面前,而真正有价值的应该进入我们心里的,却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》,就是要告诉您过去的七天都发生了哪些新闻,更希望和您一起,站在七天的高度来看待过去一周的新闻。

  领IT群雄秀企业风采。创刊于2008年2月,定位于行业(企业)信息化规划、建设、管理的中高层人士,通过精心的内容筛选,将每月发生的重点事件进行回顾,为高端人群提供深度阅读,与比特网内容的速度特性形成互补。主要栏目有:比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

  业内首个只为报道数据中心资讯内容的专业频道,是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心,贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则,以成为用户最信赖的行业专家为目标,打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报,为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

  就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧,向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐,为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。

不良信息举报Q:2000617

软路由

不良信息举报Q:2000617|Archiver|ROS软路由论坛 ROSABC.com 网络方案网络工程交流

GMT+8, 2024-11-1 07:14 , Processed in 0.147334 second(s), 15 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

返回顶部