邊界路由器安全設定筆記-創新互聯

R1(conf)# no cdp run #在邊界路由器上關閉CDP協議，防止非法用戶通過CDP檢測內部網絡

創新互聯建站堅持“要么做到，要么別承諾”的工作理念，服務領域包括：成都網站設計、網站建設、企業官網、英文網站、手機端網站、網站推廣等服務，滿足客戶于互聯網時代的陽高網站設計、移動媒體設計的需求，幫助企業找到有效的互聯網解決方案。努力成為您成熟可靠的網絡建設合作伙伴！

R1(conf)# no service tcp-small-service #echo 17; chargen 19; daytime 13;

R1(conf)# no service udp-small-service #關閉低端口服務，如防止***發送流量灌水到chargen服務端口，占用CPU資源，防止DoS***

R1(conf)# no ip finger #關閉FINGER，防止***通過finger檢查路由器登錄的用戶

R1(conf)# no ip identd #identD允許遠程設備為了識別目的查詢的一個TCP端口，端口號為113;

R1(conf)# no ip source-route #關閉IP源路，防止***利用IP源由選擇路由來繞過防火墻；

R1(conf)# no ftp-server enable #關閉FTP-SERVER功能，防止***在路由器上建立FTP服務器;

R1(conf)# no ip bootp server #防止***通過路由器作為Boot啟動；

R1(conf)# no service pad #PAD(packet assembler/disassemble)用于X.25網絡

R1(conf)# no boot network #禁止通過路由器作為TFTP啟動

R1(conf)# no service config # 關閉服務器設定

R1(conf)# no ip proxy-arp #有一種情況下，不應該關閉ARP代理：當路由器端遠程接入IPSec ×××連接時，當地設備要通過×××遠程防問客戶端，路由器響應來自本地設備的arp請求，這種情況下要打開APR代理功能；

R1(conf)# no ip directed-broadcast #Dos***利用廣播定向功能向特定的網絡或是子網進行洪水***；

R1(conf)# no ip unreachable #***使用DoS***來使路由器生成ICMP不可達消息；

R1(conf)# no ip redirect #***可能利用ip重定向方法，讓路由產生環路由，造成網絡癱瘓；

R1(conf)# no ip mask-reply #利用子網消息請求功能，***可進行定向廣播DoS***子網；

--------------------------------------------------------------------------------------

ACL參數說明：

precedence ：過濾特定的優先級別，范圍為０到7級別。IP數據包頭通常為服務質量保證(Quality of Service, Qos)和隊列的目的進行流量分類。
dscp：過濾IP數據包頭中的區分服務代碼(Differentiated Services Code Point,DSCP)值進行過濾；
tos: 過濾IP數據包頭中的服務類型域，用于QoS實施
log: 用于記錄控制吧、內部緩存或是系統日志，被記錄內容包括有TCP、UDP或是ICMP，記錄源端口號和目的端口號等；
log-input: 記錄的信息包括接收到的數據包的輸入接口和數據包中的第二層源地址；

ACL例子：

access-list 100 permit tcp any host 200.1.1.2 eq 25 # 任何流量都可以發送E-mail流量到200.1.1.2
access-list 100 permit tcp any eq 25 host 200.1.1.2 established #內部E-mail 服務器發送郵件到外部服務器，并接收回復。established是用戶發送到去的TCP流量將允許返回，但此參數在邊界路由器上會產生有一漏洞，即是***可以利用返回數據的ACK \ FIN \ PSH \ RST \ SYS等TCP標記位進行修改并進行***；
在接口下利用ip accounting access-violations　進行IP 統計

--------------------------------------------------------------------------------------

使用PAM和ACL來限制CBAC審查

R1(config)# ip port-map http port 8080 list 1

R1(config)#access-list permit 192.168.100.2

R1(config)# ip port-map http port 8090 list 2

R1(config)#access-list permit 192.168.100.3

--------------------------------------------------------------------------------------

使用ACL來處理TCP SYN洪水***

R1(config)# ip access-list extended tcp-syn-flood

R1(config-ext-nacl)# permit tcp any 200.1.1.0 0.0.0.255 establised

R1(config-ext-nacl)# permit tcp any host 200.1.1.11 eq 25

R1(config-ext-acl)# deny ip any any

R1(config)# interface g0/1

R1(config-if)# ip access-group tcp-syn-flood in

此例ACL不能阻止E-mail服務器TCP SYN洪水***，要結合CBAC審查；

--------------------------------------------------------------------------------------

* 使用ACL來阻塞Smurf和Fraggle，Smurf為icmp回聲(echo)的Dos***，Fraggle是使用UDP回聲進行***

R1(config)# ip access-list extended Smurf-fraggle

R1(config-ext-nacl)# deny icmp any any echo

R1(config-ext-nacl)# deny icmp any any echo-reply

R1(config-ext-nacl)# deny udp any any echo

R1(config-ext-nacl)# deny udp any any echo-reply

R1(config-ext-acl)# deny ip any any

R1(config)# interface g0/1

R1(config-if)# ip access-group Smurf-fraggle in

R1(config-if)# ip access-group Smurf-fraggle out

--------------------------------------------------------------------------------------

過濾icmp、traceroute、RPC、SQL

R1(config)# ip access-list extended ICMP-IN-OUT

R1(config-ext-nacl)# deny icmp any any echo

R1(config-ext-nacl)# deny icmp any any redirect

R1(config-ext-nacl)# deny icmp any any mask-request

R1(config-ext-nacl)# permit icmp any host 200.1.1.5 echo-reply

R1(config-ext-nacl)# deny icmp any any echo-reply

R1(config-ext-nacl)# permit icmp any 200.1.1.0 0.0.0.255

R1(config-ext-nacl)# deny udp any any range 32400 34400 #過濾Traceroute

R1(config-ext-nacl)# deny tcp any any eq 514 #過濾RPC

R1(config-ext-nacl)# deny udp any any eq 1434 #過濾SQL

R1(config-ext-nacl)# deny tcp any any eq 1433 #過濾SQL

R1(config-ext-nacl)# deny tcp any any eq 445 #過濾SMB

R1(config-ext-acl)# deny ip any any

R1(config)# interface g0/1

R1(config-if)# ip access-group CMP-IN-OUT in

R1(config-if)# ip access-group CMP-IN-OUT out

--------------------------------------------------------------------------------------

過濾Trinoo

R1(config)# ip access-list extended trinoo

R1(config-ext-nacl)# deny tcp any any eq 1524

R1(config-ext-nacl)# deny udp any any eq 1524

R1(config-ext-nacl)# deny tcp any any eq 27665

R1(config-ext-nacl)# deny tcp any any eq 31335

R1(config-ext-acl)# deny ip any any

R1(config)# interface g0/1

R1(config-if)# ip access-group trinoo in

R1(config-if)# ip access-group trinoo out

--------------------------------------------------------------------------------------

過濾DCOM連接，***利用微軟的RPC代碼的缺陷進行***。微軟在分布式對像模塊(Distributed Component Object Module,DCOM)中發現漏洞。DCOM使用的端口是 135 139 445

R1(config)# ip access-list extended Deny_RPC

R1(config-ext-nacl)# deny tcp any any eq 135

R1(config-ext-nacl)# deny udp any any eq 135

R1(config-ext-nacl)# deny tcp any any eq 139

R1(config-ext-nacl)# deny udp any any eq 139

R1(config-ext-nacl)# deny tcp any any eq 445

R1(config-ext-nacl)# deny udp any any eq 445

R1(config-ext-nacl)# deny udp any any eq 593

R1(config-ext-nacl)# deny udp any any eq 4444

R1(config-ext-nacl)# permit ip any any

R1(config)# interface g0/1

R1(config-if)# ip access-group Deny_RPC in

--------------------------------------------------------------------------------------

使用CBAC來阻止DoS***

R1(config)# ip inspect tcp synwait-time 20

R1(config)# ip inspect tcp idle-time 60

R1(config)# ip inspect udp idle-time 20

R1(config)# ip inspect max-incomplete high 400

R1(config)# ip inspect max-incomplete low 300

R1(config)# ip inspect one-minute high 600

R1(config)# ip inspect one-minute low 500

R1(config)# ip inspect tcp max-incomplete host 300 block-time 0

設置一個簡單的CBAC的審查配置

R1(config)# ip access-list extended extended_acl

R1(config-ext-nacl)# deny tcp any any log

R1(config-ext-nacl)# deny udp any any log

R1(config-ext-nacl)# deny icmp any any log

R1(config-ext-nacl)# permit ip any any

R1(config)# ip inspect name cbac-example tcp

R1(config)# ip inspect name cbac-example udp

R1(config)# ip inspect name cbac-example icmp

R1(config)# interface g0/1

R1(config-if)# ip access-group extended_acl

R1(config-if)# ipinspect cbac-example in

--------------------------------------------------------------------------------------

使用CBAC來阻止DoS***

R1(config)# ip inspect tcp synwait-time 20

R1(config)# ip inspect tcp idle-time 60

R1(config)# ip inspect udp idle-time 20

R1(config)# ip inspect max-incomplete high 400

R1(config)# ip inspect max-incomplete low 300

R1(config)# ip inspect one-minute high 600

R1(config)# ip inspect one-minute low 500

R1(config)# ip inspect tcp max-incomplete host 300 block-time 0

--------------------------------------------------------------------------------------

使用TCP截取來保護區內部服務器

R1(config)# access-list 100 tcp permit tcp any host 192.168.1.1 eq 80

R1(config)# access-list 100 tcp permit tcp any host 192.168.1.2 eq25

R1(config)# ip tcp intercept list 100

R1(config)# ip tcp intercept mode watch

R1(config)# ip tcp intercept watch-timeout 20

R1(config)# ip tcp intercept connection-time 120

R1(config)# ip tcp intercept max-incomplete high 600

R1(config)# ip tcp intercept min-incomplete low 500

R1(config)# ip tcp intercept one-minute high 800

R1(config)# ip tcp intercept one-minute low 600

另外有需要云服務器可以了解下創新互聯scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業上云的綜合解決方案，具有“安全穩定、簡單易用、服務可用性高、性價比高”等特點與優勢，專為企業上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

分享題目：邊界路由器安全設定筆記-創新互聯
網頁地址：http://vcdvsql.cn/article10/ddhcgo.html

成都網站建設公司_創新互聯，為您提供靜態網站、企業網站制作、面包屑導航、網站導航、微信公眾號、虛擬主機

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源：創新互聯

猜你還喜歡下面的內容

bl双性强迫侵犯h_国产在线观看人成激情视频_蜜芽188_被诱拐的少孩全彩啪啪漫画

邊界路由器安全設定筆記-創新互聯