配置由器变成安全防范的堡

　　IP-guard信息防泄露三重解决方案，不仅为防止信息通过U盘、Email等泄露提供解决方案，更大的意义在于，它能够帮助企业构建起完善的信息安全防护体系，使得企业可以实现“事前防御-事中控制-事后审计”的完整的信息防泄露流程，从而达到信息安全目标的透明性、可控性和不可否认性的要求。

　　以下的文章主要向大家描述的是正确配置由器成为你安全防范堡垒的实际操作流程，本文主要是以Cisco2621由器为例，介绍将一台普通的由器配置为堡垒由器的实现方法，使之成为校园网抵御外部的第一道安全屏障。

　　在典型的校园网中，由器一般处于防火墙的外部，负责与Internet的连接。这种拓扑结构实际上是将由器在校园网安全防线之外，如果由器本身又未采取适当的安全防范策略，就可能成为者发起的一块跳板，对内部网络安全造成。

　　本文将以Cisco2621由器为例，详细介绍将一台配置由器为堡垒由器的实现方法，使之成为校园网抵御外部的第一道安全屏障。

　　一、基于访问表的安全防范策略

　　1.防止外部IP地址

　　外部网络的用户可能会使用内部网的IP地址或者回环地址作为源地址，从而实现非法访问。针对此类问题可建立如下访问列表：

　　!源地址为私有地址的所有通信流。

　　!源地址为回环地址的所有通信流。

　　!源地址为多目的地址的所有通信流。

　　!没有列出源地址的通信流。

　　注：可以在外部接口的向内方向使用101过滤。

　　2.防止外部的非法探测

　　非法访问者对内部网络发起前，往往会用ping或其他命令探测网络，所以可以通过从外部用ping、traceroute等探测网络来进行防范。可建立如下访问列表:

　　!用ping探测网络。

　　注：可在外部接口的向外方向使用102过滤。在这里主要是答复输出，不探测进入。

　　3.由器不受

　　由器一般可以通过telnet或SNMP访问，应该确保Internet上没有人能用这些协议由器。假定配置由器外部接口serial0的IP为200.200.200.1，内部接口stethernet0的IP为200.200.100.1。可以生成telnet、SNMP服务的向内过滤由器。建立如下访问列表：

　　注:在外部接口的向内方向使用101过滤。当然这会对管理员的使用造成一定的不便，这就需要在方便与安全之间做出选择。

　　4.对关键端口的非法访问

　　关键端口可能是内部系统使用的端口或者是防火墙本身的端口。对这些端口的访问应该加以，否则这些设备就很容易受到。建立如下访问列表：

　　5.对内部网的重要服务器进行访问

　　对于没有配备专用防火墙的校园网，采用动态分组过滤技术建立对重要服务器的访问就显得尤为重要。对于配备了专用防火墙的校园网，此项任务可以在防火墙上完成，这样可以减轻由器的负担。无论是基于配置由器实现，还是在防火墙上完成设置，首先都应该制定一套访问规则。可以考虑建立如下的访问规则:

　　允许外部用户到Web服务器的向内连接请求。

　　允许Web服务器到外部用户的向外答复。

　　允许外部SMTP服务器向内部邮件服务器的向内连接请求。

　　允许内部邮件服务器向外部SMTP服务器的向外答复。

　　允许内部邮件服务器向外DNS查询。

　　允许到内部邮件服务器的向内的DNS答复。

　　路由器地址是多少允许内部主机的向外TCP连接。

　　允许对请求主机的向内TCP答复。

　　其他访问规则可以根据各自的实际情况建立。列出允许的所有通信流后，设计访问列表就变得简单了。注意应将所有向内对话应用于由器外部接口的IN方向，所有向外对话应用于由器外部接口的OUT方向。

　　二、常见手段及其对策

　　1.防止外部ICMP重定向

　　者有时会利用ICMP重定向来对由器进行重定向，将本应送到正确目标的信息重定向到它们指定的设备，从而获得有用信息。外部用户使用ICMP重定向的命令如下：

　　2.防止外部源由

　　源由选择是用数据链层信息来为数据报进行由选择。该技术跨越了网络层的由信息，使入侵者可以为内部网的数据报指定一个非法的由，这样原本应该送到目的地的数据报就会被送到入侵者指定的地址。使用源由的命令如下：

　　3.防止内部IP地址

　　者可能会内部IP地址进行非法访问。针对这一问题，可以利用Cisco由器的ARP命令将固定IP地址绑定到某一MAC地址之上。具体命令如下：

　　要在源站点防止smurf，关键是所有的向内回显请求。这就要防止配置由器将指向网络地址的通信映射到局域网地址。可以在LAN接口方式中输入如下命令：

　　三、关闭由器上不用的服务

　　由器除了可以提供径选择外，它还是一台服务器，可以提供一些有用的服务。由器运行的这些服务可能会成为敌人的突破口，为了安全起见，最好关闭这些服务。

　　通过以上介绍的各种方法，我们成功地将一台普通由器配置为一台堡垒由器，在没有增加任何投入的情况下，提高了整个园区网的安全性。但应该说明的是，堡垒由器的实现是以整个网络的效率为代价的，可能会影响到园区网对外访问的速度

　　以上的相关内容就是对配置由器成为你安全防范的堡垒的介绍，望你能有所收获。