當前位置：首頁>技術交流>內網(wǎng)安全設計方案（五）

內網(wǎng)安全設計方案（五）

訪問列表通過在路由器的接口上控制是否轉發(fā)或阻止路由包來過濾網(wǎng)絡流量。路由器檢查每個路由包并基于訪問列表中指定的規(guī)則來決定是否轉發(fā)或丟棄這個包。訪問列表規(guī)則可以是流量的源地址、流量的目的地址、上層協(xié)議或其它信息。注意，由于它無須認證，所以一些水平高超的用戶有時可以成功地繞過或愚弄基本訪問列表。

Cisco IOS軟件提供了一組擴展的安全特性，它允許針對特定的需求配置一個或簡單、或精密的防火墻。除了標準的Cisco IOS特性集中的可用安全特性外，還存在一個Cisco IOS防火墻特性集，它能夠為路由器提供附加的防火墻功能。Cisco IOS防火墻特性集Cisco IOS防火墻特性集結合了現(xiàn)有的Cisco IOS防火墻技術和新的基于文本訪問控制（CBAC）的特性。在路由器上配置了Cisco IOS防火墻特性集后，路由器便轉變成了一個健壯而有效的防火墻。設計Cisco IOS防火墻特性集是用來防止外部非授權者獲得內部網(wǎng)絡的訪問，并阻止來自外部的網(wǎng)絡攻擊，同時又允許授權者（機要人員）訪問特定的網(wǎng)絡資源。

使用Cisco IOS防火墻特性集可以把路由器配置成內部網(wǎng)絡中組與組之間的防火墻。保護內部網(wǎng)絡。要創(chuàng)建一個適合于公司安全策略的專用防火墻，必須采用合適的Cisco IOS防火墻特性，并對其進行配置。至少應該配置基本的流量過濾方法來提供基礎防火墻。

與其它所有網(wǎng)絡設備一樣，也應該給防火墻配置上口令，同樣也應該考慮配置用戶的認證、授權和記帳功能，除此之外，還應該考慮下述建議：在設置訪問防火墻特權的口令時，建議使用enable secret命令，而不是使用enable password命令，原因在于后者沒有提供前者那樣強大的加密算法。在控制端口設置上口令。在AAA環(huán)境中，在控制臺上使用與其它地方一樣的認證，而在非AAA環(huán)境中，至少要配置login和password的口令設置命令。在使用任何方式把控制端口連接到網(wǎng)絡，包括在端口連接調制解調器（Modem）之前，應該考慮一下訪問控制的問題，原因在于從控制端口的入侵，可能會獲得整個防火墻的控制權，甚至包括已配置的訪問控制。在所有虛擬終端的端口應用上訪問列表和口令保護，使用訪問列表來限制通過Telnet進入路由器的用戶。如果沒有必要的話，不要使用任何本地服務（例如SNMP和NTP）。在缺省情況下，防火墻上的CDP（即Cisco Discovery Protocol）和NTP（即Network Time Protocol）是打開的，如果不需要它們，則應該關閉這些服務。如果必須運行NTP，則只應在必要的接口上配置NTP，并且配置為只偵聽某些對等端口。任何啟用的服務都可能存在潛在的安全威脅，敵意分子可能會發(fā)現(xiàn)一種濫用這些服務的方法來訪問防火墻或網(wǎng)絡。對啟用的本地服務，也要防止被濫用。配置這些服務，使其只能在指定的對等端口上進行通信，并通過配置訪問列表在某些指定端口上拒絕這些服務包。 防止欺詐：保護防火墻兩邊的網(wǎng)絡，防止被第三方欺詐。應該在所有端口配置訪問列表，只允許指定的源地址流量通過，而拒絕其它地址的流量。也應該禁止源路由。

遠程撥號接入的安全保護

采用安全的一次性密碼方法，嚴格實現(xiàn)授權、記帳功能。