|
|
| 首页
> 技术频道 >
硬件学院
> 浏览技术 关键字: router 路由器 网络 |
| 用访问控制列表构筑“铜墙铁壁” |
| 2006-6-27 10:30:45 equalnull 来源:中华服务器网
点击:962次 加入收藏夹 |
|
|
在路由器和交换机上进行ACL(访问控制列表)配置来防范病毒和黑客攻击,效果非常好。经过配置后,在很多主机没打相应补丁的情况下,各网络设备有效地阻止了震荡波的攻击。
由于病毒(特别是系统漏洞病毒)都是利用相应端口进行传播与攻击的,所以我们可以考虑通过在路由器或交换机上设置相应的ACL进行防范。
我们以Cisco产品为例进行说明,具体ACL配置如下:
access-list 101 permit tcp any any established
这个命令是建立一个ACL,它只容许已经建立的连接从外向里传输数据,而对于事先没有建立的连接将被拒绝进行数据传输。最后再把ACL绑定到相应的端口就可以达到预防病毒的目的了。
现在让我们来看看如何利用这一技术迎战震荡波。公司很多计算机没有打补丁,这样外部感染了震荡波的主机会通过445、5554和9996这3个端口向内部主机传播病毒。由于我们设置了ACL,所以当外部的病毒主动向内部445、5554、9996端口传输时,这些数据会被路由器过滤掉,实现真正的防患于未然。而这样的设置对内网中的用户使用网络没有任何影响。
提示
1.由于established语句只支持TCP协议,所以如果公司要传输DNS等信息,还要设置相应的ACL语句把UDP的传输打开,格式为access-list 101 permit udp any any。
2.这样设置之后用户会抱怨FTP使用不了,因为FTP密码验证和数据传输使用的不是同一个端口,密码验证用21端口,而数据传输用20端口,所以我们也要加上相应的ACL,格式为access-list 101 permit tcp any any eq ftp-data或access-list 101 permit tcp any any eq 20。
(the end)
对不起,您需要登录后才能查看全部详细内容
|
|
|
|
由深圳市七乘二四信息技术有限公司提供技术支持。
