亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        在路由器上實現(xiàn)防火墻功能

        2017-11-22 07:51:44
        網(wǎng)絡(luò)安全和信息化 2017年4期
        關(guān)鍵詞:定義

        思科路由器除支持豐富的路由協(xié)議外,還提供了基礎(chǔ)的安全防護功能,可以在一定程度上代替防火墻,建立第一道安全防護屏障,對于安全防護措施不是太苛刻的小型網(wǎng)絡(luò)來說已經(jīng)足夠。就以筆者單位思科 7609路由器(IOS版本為12.2<33>SRB4)為例,通過設(shè)置訪問控制列表、網(wǎng)絡(luò)地址轉(zhuǎn)換等,讓路由器實現(xiàn)基本防火墻功能。

        數(shù)據(jù)包過濾功能

        通過訪問控制列表(Access Control List)實現(xiàn)數(shù)據(jù)包過濾功能。該方法是在路由器上讀取網(wǎng)絡(luò)層及傳輸層數(shù)據(jù)包中源地址、目的地址、源端口和目的端口等信息,根據(jù)預先定義好的規(guī)則對數(shù)據(jù)包進行處理,從而實現(xiàn)對數(shù)據(jù)包分析過濾。

        思科 7609支持標準訪問控制列表、擴展訪問控制列表、擴展MAC地址訪問控制列表、速率限制訪問控制列表和動態(tài)擴展訪問控制列表等。這里介紹標準訪問控制列表和擴展訪問控制列表設(shè)置方法。

        標準訪問控制列表序號從1-99,只定義允許或禁止某一個網(wǎng)段或某一個主機訪問。禁止192.168.1.1的用戶主機進入eth1/0接口只需兩步。

        第一步:定義訪問控制列表

        擴展訪問控制列表序號從100-199,擴展訪問控制列表能夠完成從源地址到目的地址,從IP層到傳輸層的數(shù)據(jù)包過濾功能。例如若需要禁止C類地址192.168.1.0進入eth1/0訪問192.168.2.0網(wǎng)段則只需執(zhí)行以下命令:

        首先是定義訪問控制列表:

        基于訪問控制列表,路由器可以對一些常見的病毒進行過濾。比如,沖擊波病毒使用 TCP和 UDP的 135、136、137、138、139 及 445 端 口 進行傳播,如果在路由器上禁止上述端口的數(shù)據(jù)包通過,就可以防范該病毒的攻擊,下面就以過濾TCP和UDP的135端口為例,制定訪問控制列表如下:

        Router(config)#Access-list 110 deny tcp any any eq 135

        Router(config)#Access-list 110 deny udp any any eq 135

        過濾其他TCP和UDP端口的方法和上面例子一樣,制定好訪問控制列表后就將該訪問控制列表應用到指定的接口上即可生效。

        NAT功能

        NAT(Network Address Translator)即網(wǎng)絡(luò)地址轉(zhuǎn)換,其原理是將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為外部網(wǎng)絡(luò)地址,從而使內(nèi)部網(wǎng)絡(luò)用戶使用一個或多個外部IP地址與外部網(wǎng)絡(luò)通信。使用NAT技術(shù)一方面可解決因特網(wǎng)地址較少的問題;另一方面,使用外部網(wǎng)絡(luò)地址訪問外部網(wǎng)絡(luò),可以很好地隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),從而達到保護內(nèi)部網(wǎng)絡(luò)的目的。

        思科7609提供的NAT類型有三種:靜態(tài)NAT、動態(tài)NAT和網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。靜態(tài)NAT是將內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。動態(tài)地址NAT是在外部網(wǎng)絡(luò)中定義了一系列的合法地址,采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。動態(tài)NAR較為常用,配置步驟如下:

        第一步:定義映射到外部的地址池,其中PoolName為自定義的地址池名字,startIP為起始IP地址,endIP為結(jié)束IP地址。

        ip nat pool PoolName startIP endIP netmask 255.255.255.0

        第二步:允許轉(zhuǎn)換的內(nèi)部地址范圍,這里允許的地址范圍為一個C類地址段192.168.1.0。

        Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

        第三步:指定內(nèi)部接口。

        Router(config)#inter face g0/0

        Router(config-if) #ip nat inside

        第四步:指定外部接口。

        Router(config)#inter face s0/0/0

        Router(config-if) #ip nat outside

        第五步:配置動態(tài)映射,將內(nèi)部地址映射到外部地址池。

        Router(config)#ip nat inside source list 1 pool PoolName

        基于上下文的訪問控制功能

        思科7609路由器支持基于上下文的訪問控制(Context Based Access Control,CBAC)技術(shù),啟用該功能,可以抵御DoS攻擊,其原理是在報文進入或離開指定接口時對報文進行檢測,將報文的有關(guān)信息存放在狀態(tài)信息表中,包括報文的源地址、目的地址以及TCP、UDP的端口號等。利用該狀態(tài)表創(chuàng)建臨時開啟表項,用于檢查返回的流量,臨時表項被放在接受返回流量的接口上。當連接完成時,狀態(tài)表和訪問表中的相關(guān)表項被清除。對于TCP,這些表項會在客戶和服務器之間交換一個正常的FIN之后被清除,而對于UDP,則可配置不活躍的超時值。CBAC配置示例如下:

        基于網(wǎng)絡(luò)的應用識別功能

        基于網(wǎng)絡(luò)的應用識別(Network Based Application Recognition,NBAR)是思科路由器IOS從12.1版本開始支持的一個流量分類引擎技術(shù)。該技術(shù)通過查看數(shù)據(jù)包的前512個字節(jié),可以檢測識別各種應用協(xié)議,并在路由器內(nèi)建立一個協(xié)議到端口的映射表,之后用戶就可以利用classmap類別映射去匹配這些相應的協(xié)議,以實現(xiàn)帶寬控制、流量整形和包丟棄等防火墻策略。

        該技術(shù)既支持使用固定端口的常見應用層協(xié)議如 HTTP、FTP、H232等,也支持一些經(jīng)常更換端口的應用層協(xié)議,如BT等。對新出現(xiàn)的協(xié)議,用戶還可以到思科公司網(wǎng)站下載最新的包描述語言模塊(Packet DescriptionLanguage Module,PDLM)文件,對內(nèi)建協(xié)議到端口映射表進行更新,從而使路由器對最新出現(xiàn)的協(xié)議類型進行識別和判定。如果要對網(wǎng)內(nèi)FTP占用接口最大帶寬限制為10%,可以按以下步驟設(shè)置:

        1.定義映射的類(或應用協(xié)議),其中ClassName為類名, FTP為需要識別的應用協(xié)議。

        2.定義類所適用的策略,其中PolicyName為策略名,其具體含義為:定義定義一個策略PolicyName,然后將上面定義的類ClassName,也就是FTP協(xié)議放到這個策略中,并給這個類分配占用接口最大帶寬限制為10%的帶寬。

        TCP攔截功能

        TCP攔截主要作用就是防止SYN泛洪攻擊。SYN攻擊利用TCP的三次握手機制,用偽造的IP地址向被攻擊端發(fā)出請求,而被攻擊端發(fā)出的響應報文將永遠發(fā)送不到目的地,被攻擊端在等待關(guān)閉此連接過程中消耗了資源,如果有成千上萬的這種連接,主機資源將被耗盡,從而達到攻擊的目的。開啟TCP攔截分為三個步驟:

        第一步是設(shè)置TCP攔截的工作模式。

        TCP攔截的工作模式分為攔截和監(jiān)視。攔截模式下,路由器審核所有的TCP連接,自身的負擔加重,所以一般讓路由器工作在監(jiān)視模式,監(jiān)視TCP連接的時間和數(shù)目,超出預定值則關(guān)閉連接。

        Router(config)#ip tcp intercept mode(intercept|watch)

        第二步是設(shè)置訪問表,以開啟需要保護的主機。

        Router(config)#a c c e s s-l i s t 1 0 1 permit tcp any host 219.148.150.126

        第三步是開啟TCP攔截。

        Router(config)#ip tcp intercept list accesslist-number

        猜你喜歡
        定義
        以愛之名,定義成長
        活用定義巧解統(tǒng)計概率解答題
        例談橢圓的定義及其應用
        題在書外 根在書中——圓錐曲線第三定義在教材和高考中的滲透
        永遠不要用“起點”定義自己
        海峽姐妹(2020年9期)2021-01-04 01:35:44
        嚴昊:不定義終點 一直在路上
        華人時刊(2020年13期)2020-09-25 08:21:32
        定義“風格”
        成功的定義
        山東青年(2016年1期)2016-02-28 14:25:25
        有壹手——重新定義快修連鎖
        修辭學的重大定義
        當代修辭學(2014年3期)2014-01-21 02:30:44
        青青青伊人色综合久久亚洲综合| 穿着白丝啪啪的av网站| 91精品国产一区国产二区久久 | 亚洲人妻无缓冲av不卡| 亚洲日本无码一区二区在线观看| 亚洲视频中文字幕更新| 久久亚洲精品一区二区三区| 干日本少妇一区二区三区| 一本一道vs无码中文字幕| 免费a级毛片无码| 亚洲制服中文字幕第一区| 久久久久成人精品免费播放网站| 亚洲黄色官网在线观看| 国产丝袜美腿在线视频| 熟女一区二区三区在线观看| 免费观看18禁无遮挡真人网站| 国产精品对白刺激久久久| 人人妻人人添人人爽日韩欧美| 国产国语对白一区二区三区| 4hu44四虎www在线影院麻豆| 久久久精品国产视频在线| 日韩精品自拍一区二区| 亚洲熟女少妇精品综合| 久久精品亚洲精品国产色婷| 伊人久久大香线蕉综合网站| 精品国产a∨无码一区二区三区| 人妻人妻少妇在线系列| 自拍偷拍一区二区三区四区| 精品一区二区三区亚洲综合| 人人妻人人添人人爽欧美一区| 日韩欧美人妻一区二区三区| 亚洲精品欧美二区三区中文字幕 | 亚瑟国产精品久久| 成人爽a毛片一区二区免费| 日本不卡在线一区二区三区视频| 一本色道久久88综合亚精品| 在线观看视频免费播放| 俺去啦最新地址| 国产成人无码区免费网站| 中出高潮了中文字幕| 一区二区三区四区免费国产视频|