中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

邊界路由器安全設定筆記

發布時間:2020-05-31 23:11:35 來源:網絡 閱讀:989 作者:arckyli 欄目:安全技術

R1(conf)# no cdp run   #在邊界路由器上關閉CDP協議,防止非法用戶通過CDP檢測內部網絡

R1(conf)# no service tcp-small-service   #echo  17; chargen 19; daytime 13;

R1(conf)# no service udp-small-service  #關閉低端口服務,如防止***發送流量灌水到chargen服務端口,占用CPU資源,防止DoS***

R1(conf)# no ip finger   #關閉FINGER,防止***通過finger檢查路由器登錄的用戶

R1(conf)# no ip identd #identD允許遠程設備為了識別目的查詢的一個TCP端口,端口號為113;

R1(conf)# no ip  source-route #關閉IP源路,防止***利用IP源由選擇路由來繞過防火墻;

R1(conf)# no ftp-server enable #關閉FTP-SERVER功能,防止***在路由器上建立FTP服務器;

R1(conf)# no ip bootp server  #防止***通過路由器作為Boot啟動;

R1(conf)# no service pad #PAD(packet assembler/disassemble)用于X.25網絡

R1(conf)# no boot network #禁止通過路由器作為TFTP啟動

R1(conf)# no service config # 關閉服務器設定

R1(conf)# no ip proxy-arp #有一種情況下,不應該關閉ARP代理:當路由器端遠程接入IPSec ×××連接時,當地設備要通過×××遠程防問客戶端,路由器響應來自本地設備的arp請求,這種情況下要打開APR代理功能;

R1(conf)# no ip directed-broadcast #Dos***利用廣播定向功能向特定的網絡或是子網進行洪水***;

R1(conf)# no ip unreachable #***使用DoS***來使路由器生成ICMP不可達消息;

R1(conf)# no ip redirect  #***可能利用ip重定向方法,讓路由產生環路由,造成網絡癱瘓;

R1(conf)# no ip mask-reply #利用子網消息請求功能,***可進行定向廣播DoS***子網;

--------------------------------------------------------------------------------------

ACL參數說明:

  • precedence :過濾特定的優先級別,范圍為0到7級別。IP數據包頭通常為服務質量保證(Quality of Service, Qos)和隊列的目的進行流量分類。

  • dscp:過濾IP數據包頭中的區分服務代碼(Differentiated Services Code Point,DSCP)值進行過濾;

  • tos: 過濾IP數據包頭中的服務類型域,用于QoS實施

  • log: 用于記錄控制吧、內部緩存或是系統日志,被記錄內容包括有TCP、UDP或是ICMP,記錄源端口號和目的端口號等;

  • log-input: 記錄的信息包括接收到的數據包的輸入接口和數據包中的第二層源地址;

ACL例子:

  • access-list 100 permit tcp any host 200.1.1.2 eq 25         # 任何流量都可以發送E-mail流量到200.1.1.2

  • access-list 100 permit tcp any eq 25 host 200.1.1.2 established   #內部E-mail 服務器發送郵件到外部服務器,并接收回復。established是用戶發送到去的TCP流量將允許返回,但此參數在邊界路由器上會產生有一漏洞,即是***可以利用返回數據的ACK \ FIN \ PSH \ RST \ SYS等TCP標記位進行修改并進行***;

  • 在接口下利用ip accounting access-violations 進行IP 統計

--------------------------------------------------------------------------------------

  • 使用PAM和ACL來限制CBAC審查

      R1(config)# ip port-map http port 8080 list 1

      R1(config)#access-list permit 192.168.100.2     

      R1(config)# ip port-map http port 8090 list 2 

      R1(config)#access-list permit 192.168.100.3 

--------------------------------------------------------------------------------------

  • 使用ACL來處理TCP SYN洪水***

      R1(config)# ip access-list extended tcp-syn-flood

      R1(config-ext-nacl)# permit tcp any 200.1.1.0 0.0.0.255 establised

      R1(config-ext-nacl)# permit tcp any host 200.1.1.11 eq 25 

      R1(config-ext-acl)# deny ip any any

      R1(config)# interface g0/1

      R1(config-if)# ip access-group tcp-syn-flood in

      此例ACL不能阻止E-mail服務器TCP SYN洪水***,要結合CBAC審查;

--------------------------------------------------------------------------------------

* 使用ACL來阻塞Smurf和Fraggle,Smurf為icmp回聲(echo)的Dos***,Fraggle是使用UDP回聲進行***

      R1(config)# ip access-list extended Smurf-fraggle

      R1(config-ext-nacl)# deny icmp any any echo

      R1(config-ext-nacl)# deny icmp any any echo-reply

      R1(config-ext-nacl)# deny udp any any echo

      R1(config-ext-nacl)# deny udp any any echo-reply

      R1(config-ext-acl)#  deny ip any any

       R1(config)# interface g0/1

      R1(config-if)# ip access-group Smurf-fraggle in

      R1(config-if)# ip access-group Smurf-fraggle out

--------------------------------------------------------------------------------------

  •  過濾icmp、traceroute、RPC、SQL

      R1(config)# ip access-list extended ICMP-IN-OUT

      R1(config-ext-nacl)# deny icmp any any echo      

      R1(config-ext-nacl)# deny icmp any any  redirect

      R1(config-ext-nacl)# deny icmp any any  mask-request

      R1(config-ext-nacl)# permit icmp any host 200.1.1.5 echo-reply

      R1(config-ext-nacl)# deny icmp any any echo-reply

      R1(config-ext-nacl)#  permit icmp any 200.1.1.0 0.0.0.255

      R1(config-ext-nacl)# deny udp any any range 32400 34400   #過濾Traceroute

  R1(config-ext-nacl)# deny tcp any any eq 514         #過濾RPC

      R1(config-ext-nacl)# deny udp any any eq 1434      #過濾SQL

      R1(config-ext-nacl)# deny tcp  any any eq 1433      #過濾SQL

      R1(config-ext-nacl)# deny tcp  any any eq 445        #過濾SMB

      R1(config-ext-acl)#  deny ip any any

      R1(config)# interface g0/1

      R1(config-if)# ip access-group CMP-IN-OUT in

      R1(config-if)# ip access-group CMP-IN-OUT  out

--------------------------------------------------------------------------------------

  •  過濾Trinoo

      R1(config)# ip access-list extended trinoo

      R1(config-ext-nacl)# deny tcp any any eq 1524  

      R1(config-ext-nacl)# deny tcp  any any eq 1524

      R1(config-ext-nacl)# deny udp  any any eq 1524

      R1(config-ext-nacl)# deny tcp any any eq 27665

      R1(config-ext-nacl)# deny tcp any  any  eq 27665 

      R1(config-ext-nacl)# deny tcp any any eq 31335

      R1(config-ext-nacl)#  deny tcp any   any  eq 31335 

      R1(config-ext-acl)#  deny ip any any

      R1(config)# interface g0/1

      R1(config-if)# ip access-group trinoo in

      R1(config-if)# ip access-group trinoo   out

--------------------------------------------------------------------------------------

  •  過濾DCOM連接,***利用微軟的RPC代碼的缺陷進行***。微軟在分布式對像模塊(Distributed Component Object Module,DCOM)中發現漏洞。DCOM使用的端口是 135 139 445

      R1(config)# ip access-list extended Deny_RPC

      R1(config-ext-nacl)# deny tcp any any eq 135 

      R1(config-ext-nacl)# deny udp  any any  eq 135

      R1(config-ext-nacl)# deny tcp any any eq 139 

      R1(config-ext-nacl)# deny udp any any eq 139

      R1(config-ext-nacl)# deny tcp any  any eq 445

      R1(config-ext-nacl)# deny udp any any eq 445 

      R1(config-ext-nacl)# deny udp any any eq 593

        R1(config-ext-nacl)# deny udp any any eq 4444

      R1(config-ext-nacl)# permit ip any any

      R1(config)# interface g0/1

      R1(config-if)# ip access-group Deny_RPC in

      

--------------------------------------------------------------------------------------

  •  使用CBAC來阻止DoS***

     R1(config)#  ip inspect tcp synwait-time 20 

     R1(config)#  ip inspect tcp idle-time 60

     R1(config)#  ip inspect udp idle-time 20 

     R1(config)#  ip inspect max-incomplete high 400

     R1(config)#  ip inspect max-incomplete low 300

     R1(config)#  ip inspect one-minute high 600

     R1(config)#  ip inspect one-minute low 500

     R1(config)#  ip inspect tcp max-incomplete host 300 block-time 0 

  •  設置一個簡單的CBAC的審查配置

      R1(config)# ip access-list extended extended_acl

      R1(config-ext-nacl)# deny tcp any any log 

      R1(config-ext-nacl)# deny udp any any log

      R1(config-ext-nacl)# deny icmp any any log

      R1(config-ext-nacl)# permit ip any any 

      R1(config)# ip inspect name cbac-example tcp

      R1(config)# ip inspect name cbac-example udp

      R1(config)# ip inspect name cbac-example icmp

      R1(config)# interface g0/1

      R1(config-if)# ip access-group extended_acl

      R1(config-if)# ipinspect cbac-example in

     

--------------------------------------------------------------------------------------

  •  使用CBAC來阻止DoS***

     R1(config)#  ip inspect tcp synwait-time 20 

     R1(config)#  ip inspect tcp idle-time 60

     R1(config)#  ip inspect udp idle-time 20 

     R1(config)#  ip inspect max-incomplete high 400

     R1(config)#  ip inspect max-incomplete low 300

     R1(config)#  ip inspect one-minute high 600

     R1(config)#  ip inspect one-minute low 500

     R1(config)#  ip inspect tcp max-incomplete host 300 block-time 0 

--------------------------------------------------------------------------------------

  •  使用TCP截取來保護區內部服務器

     R1(config)#  access-list 100 tcp permit tcp any host 192.168.1.1 eq 80

     R1(config)#  access-list 100 tcp permit tcp any host 192.168.1.2 eq25

     R1(config)#  ip tcp intercept list 100

     R1(config)#  ip tcp intercept mode watch

     R1(config)#  ip tcp intercept watch-timeout 20

     R1(config)#  ip tcp intercept connection-time 120

     R1(config)#  ip tcp intercept max-incomplete high 600

     R1(config)#  ip tcp intercept min-incomplete low 500

     R1(config)#  ip tcp intercept one-minute high 800

     R1(config)#  ip tcp intercept one-minute low 600


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

柞水县| 洛隆县| 中超| 克什克腾旗| 安化县| 雅江县| 萨嘎县| 汉阴县| 潮安县| 繁昌县| 卢龙县| 合川市| 铁岭县| 德阳市| 刚察县| 山阴县| 旬阳县| 高台县| 翁牛特旗| 布拖县| 清涧县| 屏东市| 苏尼特左旗| 襄樊市| 梅州市| 章丘市| 漳平市| 枣庄市| 大宁县| 周至县| 湘乡市| 文水县| 罗江县| 高邮市| 阳原县| 拉孜县| 天镇县| 斗六市| 南康市| 静海县| 分宜县|