1,及時的升級IOS軟件,並且要迅速的爲IOS安裝補丁。
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log |
8,建議採用訪問列表控制流出內部網絡的地址必須是屬於內部網絡的。如:
Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any Router(Config)# access-list 101 deny ip any any log Router(Config)# interface eth 0/1 Router(Config-if)# description “internet Ethernet” Router(Config-if)# ip address 192.168.0.254 255.255.255.0 Router(Config-if)# ip access-group 101 in |
A: 通過訪問列表防範。
Router(Config)# no access-list 106 Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established Router(Config)# access-list 106 deny ip any any log Router(Config)# interface eth 0/2 Router(Config-if)# description “external Ethernet” Router(Config-if)# ip address 192.168.1.254 255.255.255.0 Router(Config-if)# ip access-group 106 in B:通過TCP截獲防範。(這會給路由器產生一定負載) Router(Config)# ip tcp intercept list 107 Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255 Router(Config)# access-list 107 deny ip any any log Router(Config)# interface eth0 Router(Config)# ip access-group 107 in
|
Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log
Router(Config)# access-list permit ip any any Router(Config)# interface eth 0/2 Router(Config-if)# ip address 192.168.1.254 255.255.255.0 Router(Config-if)# ip access-group 107 in
|
Router(Config)# access-list 108 deny ip any host 192.168.1.255 log
Router(Config)# access-list 108 deny ip any host 192.168.1.0 log |
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo log Router(Config)# access-list 110 deny icmp any any redirect log Router(Config)# access-list 110 deny icmp any any mask-request log Router(Config)# access-list 110 permit icmp any any ! Inbound ICMP Control Router(Config)# access-list 111 permit icmp any any echo Router(Config)# access-list 111 permit icmp any any Parameter-problem Router(Config)# access-list 111 permit icmp any any packet-too-big Router(Config)# access-list 111 permit icmp any any source-quench Router(Config)# access-list 111 deny icmp any any log ! Outbound TraceRoute Control Router(Config)# access-list 112 deny udp any any range 33400 34400 ! Inbound TraceRoute Control Router(Config)# access-list 112 permit udp any any range 33400 34400 |
13,DDoS(Distributed Denial of Service)的防範。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 log Router(Config)# access-list 113 deny udp any any eq 31335 log Router(Config)# access-list 113 deny udp any any eq 27444 log ! The Stacheldtraht DDoS system Router(Config)# access-list 113 deny tcp any any eq 16660 log Router(Config)# access-list 113 deny tcp any any eq 65000 log ! The TrinityV3 System Router(Config)# access-list 113 deny tcp any any eq 33270 log Router(Config)# access-list 113 deny tcp any any eq 39168 log ! The SubSeven DDoS system and some Variants Router(Config)# access-list 113 deny tcp any any range 6711 6712 log Router(Config)# access-list 113 deny tcp any any eq 6776 log Router(Config)# access-list 113 deny tcp any any eq 6669 log Router(Config)# access-list 113 deny tcp any any eq 2222 log Router(Config)# access-list 113 deny tcp any any eq 7000 log |
Router(Config)# config t
Router(Config)# no access-list 22 Router(Config)# access-list 22 permit 192.168.0.22 Router(Config)# access-list deny any Router(Config)# username BluShin privilege 10 G00dPa55w0rd ! 設置SSH的超時間隔和嘗試登錄次數 Router(Config)# ip ssh timeout 90 Router(Config)# ip ssh anthentication-retries 2 Router(Config)# line vty 0 4 Router(Config-line)# access-class 22 in Router(Config-line)# transport input ssh Router(Config-line)# login local Router(Config-line)# exit !啓用SSH服務,生成RSA密鑰對。 Router(Config)# crypto key generate rsa The name for the keys will be: router.blushin.org Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys .Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus[512]: 2048 Generating RSA Keys... [OK] Router(Config)# |
(config)#access-list
access-list-number{deny|permit} source
[source-wildcard]
參數註釋:
access-list-number是定義訪問列表編號的一個值,範圍從1--99.參數
deny或permit指定了允許還是拒絕數據包.
source是發送數據包的主機地址.
source-wildcard則是發送數據包的主機的通配符.在實際應用中,如果數據包的源地址在訪問列表中未能找到,或者是找到了未被允許轉發,則該包將會被拒絕.
簡單訪問列表示例:
access-list
3 permit 172.30.1.0 0.0.0.255 */指明一個列表號爲3的訪問控制列表,並允許172.30.1.0這個網段的數據通過.0.0.0.255是通配符.
access-list
3 permit 10.1.1.0 0.0.15.255 */允許所有源地址爲從10.1.0.0到10.1.15.255的數據包通過應用了該訪問列表的路由器接口.
access-list
3 deny 172.31.1.0 0.0.0.255 */拒絕源IP地址爲172.31.1.0到172.31.1.255的數據包通過該訪問列表.
配置了訪問列表後,就要啓用訪問控制列表,我們可以在接口配置模式下使用access-group或ip access-class命令來指定訪問列表應用於某個接口.使用關鍵字in(out)來定義該接口是出站數據包還是入站數據包.
示例:
ip
access-group 3 in */定義該端口入站數據包必須按照訪問列表3上的原則.
|
由於標準訪問控制列表對使用的端口不進行區別,所以,引入了擴展訪問控制列表(列表號從100--199).擴展訪問列表能夠對數據包的源地址,目的地址和端口等項目進行檢查,這其中,任何一個項目都可以導致某個數據包不被允許經過路由器接口.
簡單的配置示例:
(config)#ip access-list 101 permit tcp any host
10.1.1.2 established log
(config)#ip
access-list 101 permit tcp any host 172.30.1.3 eq www log
(config)#ip
access-list 101 permit tcp any host 172.30.1.4 eq ftp log
(config)# ip access-list 101 permit tcp any host
172.30.1.4 log
註釋:
第一行允許通過TCP協議訪問主機10.1.1.2,如果沒個連接已經在主機10.1.1.2和某個要訪問的遠程主機之間建立,則該行不會允許任何數據包通過路由器接口,除非回話是從內部企業網內部發起的.第二行允許任何連接到主機172.30.1.3來請求www服務,而所有其他類型的連接將被拒絕, 這是因爲在訪問列表自動默認的在列表尾部,有一個deny any any語句來限制其他類型連接.第三行是拒絕任何FTP連接來訪問172.30.1.4主機.第四行是允許所有類型的訪問連接到172.30.1.4主機.
|
建立一個標準的訪問控制列表(編號從1--99任意選擇):
(config)#access-list 90 permit 172.30.1.45
(config)#access-list 90 permit 10.1.1.53
該訪問列表僅允許以上兩個IP地址之一的主機對路由器進行telnet訪問,
注意:創建該列表後必須指定到路由器端口某個端口上,具體指定方法如下:
(config)#line vty E0 4
(config-line)#access-class 90 in
以上配置是入站到E0端口的telnet示例,出站配置採用out.
爲了保護路由器的安全設置,也可以限制其telnet訪問的權限
通過分配管理密碼來限制一個管理員只能有使用show命令的配置如下:
enable
secret level 6 123456
privilege exec 6 show
給其分配密碼爲123456,telnet進入路由器後,只能用show命令,其他任何設置權限全部被限制.另外,也可以通過訪問時間來限制所有端口的登陸訪問情況,在超時的情況下,將自動斷開,下面是一個配置所有端口訪問活動3分30秒的設置示例:
exec-timeout
3 30
|