你所在的位置: 首页 > 思科认证 > CCNP >
最新开班 班级 报名状态
9月16日 HCNP-R&S(含初级) 热招中
9月18日 RHCSA脱产班 热招中
9月25日 HCNA-Cloud Service 热招中
9月25日 HCNA-Cloud Service 热招中
9月30日 HCNA-R&S周末班 热招中
10月31日 HCNP-storage脱产班 热招中
10月23日 HCNA-storage脱产班 热招中
10月20日 HCNP-R&S脱产班 热招中
10月10日 HCIE-R&S脱产班 热招中
10月9日 HCNA-R&S脱产班 热招中
  • 博赛网络ICT就业班热招中
  • 博赛推出Oracle OCM实战课程

用访问控制列表构筑“铜墙铁壁”

时间:2013-10-25 15:28 作者:Superthink 点击:

笔者在路由器和交换机上进行ACL(访问控制列表)配置来防范病毒和黑客攻击,效果非常好。经过配置后,在很多主机没打相应补丁的情况下,各网络设备有效地阻止了震荡波的攻击。

由于病毒(特别是系统漏洞病毒)都是利用相应端口进行传播与攻击的,所以我们可以考虑通过在路由器或交换机上设置相应的ACL进行防范。

我们以Cisco产品为例进行说明,具体ACL配置如下:
access-list 101 permit tcp any any established
这个命令是建立一个ACL,它只容许已经建立的连接从外向里传输数据,而对于事先没有建立的连接将被拒绝进行数据传输。最后再把ACL绑定到相应的端口就可以达到预防病毒的目的了。

现在让我们来看看如何利用这一技术迎战震荡波。公司很多计算机没有打补丁,这样外部感染了震荡波的主机会通过445、5554和9996这3个端口向内部主机传播病毒。由于我们设置了ACL,所以当外部的病毒主动向内部445、5554、9996端口传输时,这些数据会被路由器过滤掉,实现真正的防患于未然。而这样的设置对内网中的用户使用网络没有任何影响。

提示
1.由于established语句只支持TCP协议,所以如果公司要传输DNS等信息,还要设置相应的ACL语句把UDP的传输打开,格式为access-list 101 permit udp any any。
2.这样设置之后用户会抱怨FTP使用不了,因为FTP密码验证和数据传输使用的不是同一个端口,密码验证用21端口,而数据传输用20端口,所以我们也要加上相应的ACL,格式为access-list 101 permit tcp any any eq ftp-data或access-list 101 permit tcp any any eq 20。(

(责任编辑:Superthink)

评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)