zhangkuilong2018

博客园 首页 联系 订阅 管理

访问控制列表:

1、标准访问控制列表

2、扩展访问控制列表

3、命名访问控制列表

 

控制列表末尾有一条隐式的deny any语句、

访问控制列表应遵循的一些原则:

1、在接口的特定方向上,每种协议只能有一个访问控制列表;

2、在访问控制列表中,将uti的测试条件放在前面;

3、新增的语句将放在访问控制列表的末尾;

4、不能进删除访问开工至列表中的一行,如果视同这样做,见该上传整个访问控制列表。

5、除非访问控制列表以permit any命令结尾,否则不满足任何条件的分组都将被丢弃;-----访问控制列表默认是全部deny;

6、创建访问控制列表后应应将其应用于接口;

7、访问控制列表用于过滤穿越路由器的数据流;应将IP标准访问控制列表放在离目的地尽可能近的地方,这就是我们不想在网络中使用标准访问控制列表的原因;

8、将IP扩张访问控制列表放在离信源尽可能远的地方;

 

使用ACL可缓解安全威胁:

1、IP地址欺骗(入站);

2、IP地址欺骗(出站)

3、拒绝服务(DoS)TCP SYN攻击(阻断外部攻击)

4、DoS TCP SYN攻击(使用TCP拦截)

5、DoS smurf攻击

6、拒绝/过滤ICMP消息(入站)

7、拒绝/过滤ICMP消息(出站)

8、拒绝/过滤traceroute。

 

标准访问控制列表:1~99,1300~1999;

通配符大小总比块大小小1;

access-list 10 deny 172.16.10.0 0.0.0.255

acc-list 10 permit any

int fa0/0

ip access-group 10 out;

 

确定块大小和通配符掩码时,需要牢记以下两点:

1、起始位置必须为0或者块大小的整数倍。

2、命令any与0.0.0.0 255.255.255.255 等价。

 

通知VTY(SSH/TELNET)访问;

access-list 50 permit host 172.16.10.3

line vty 0 4

access-class 50 in

 

Router(config)#access-list 110 deny tcp any 172.16.40.0 0.0.15.155
Router(config)#access-list 110 deny tcp any 172.16.192.0 0.0.63.255
Router(config)#access-list 110 permit any

Router(config)#interface f0/0
Router(config-if)#ip access-group 110 out
Router(config-if)#int f0/1
Router(config-if)#ip access-group 110 out

 

命名ACL:

ip access-list standard BlockSales
deny 172.16.40.0 0.0.0.155
permit any

Router(config)#interface fa0/0
Router(config-if)#ip access-group BlockSlaes out

Router(config-if)#exit

 

防DoS攻击常用工具:

1、入侵检测系统(IDS)

2、父亲防范系统(IPS)

R1(config)#no service ?
alignment                  Control alignment correction and logging
compress-config     Compress the nvram configuration file
config                       TFTP load config files
dhcp                                Enable DHCP server and relay agent
disable-ip-fast-frag         Disable IP particle-based fast fragmentation
exec-callback                 Enable exec callback
exec-wait                      Delay EXEC startup on noisy lines
finger                          Allow responses to finger requests
hide-telnet-addresses                  Hide destination addresses in telnet command
linenumber                       enable line number banner for each exec
nagle                          Enable Nagle's congestion control algorithm
old-slip-prompts                Allow old scripts to operate with slip/ppp
pad                             Enable PAD commands
password-encryption                     Encrypt system passwords
prompt                         Enable mode specific prompt
pt-vty-logging                   Log significant VTY-Async events
sequence-numbers                Stamp logger messages with a sequence number
slave-log                         Enable log capability of slave IPs
tcp-keepalives-in                    Generate keepalives on idle incoming network   connections
tcp-keepalives-out                           Generate keepalives on idle outgoing networkconnections
tcp-small-servers                             Enable small TCP servers (e.g., ECHO)
telnet-zeroidle                                    Set TCP window 0 when connection is idle
timestamps                              Timestamp debug/log messages
udp-small-servers                     Enable small UDP servers (e.g., ECHO)

 

TCP小程序:

echo:回显输入内容

chargen:生成ASCII数据流

discard:丢弃输入的内容

daytime:返回系统日期和时间

UDP小型服务:

echo:回显发送的数据保的有效负载

discard:小小的丢弃发送的数据报

chargen:丢弃发送的数据报。

 

阻断SNMP分组:

R1(config)#access-list 110 deny udp any any eq snmp
R1(config)#access-list 110 permit ip any any

R1(config)# int f 0/0
R1(config-if)#ip access-group 110 out

 

禁用echo

R1(config)#no service tcp-small-servers
R1(config)#no service udp-small-servers

禁用BootP自动配置

R1(config)#no ip bootp server
R1(config)#no service config

禁用HTTP进程:

R1(config)#no ip http server 

禁用IP源路由选择

R1(config)#no ip source-route 

禁用代理ARP

R1(config)#int fastEthernet 0/0
R1(config-if)#no ip proxy-arp

禁用重定向消息

R1(config)#interface fastEthernet 0/0
R1(config-if)#no ip redirects

禁止生成ICMP不可达消息:

R1(config)#interface fastEthernet 0/0

R1(config-if)#no ip unreachables

 

禁用组播路由缓存:

R1(config)#interface fastEthernet 0/0

R1(config-if)#no ip mroute-cache

禁用维护操作协议:

no mop enabled

关闭X.25 PAD 服务

noservice pad

启用Nale TCP拥塞算法

service nagle

 

posted on 2018-07-17 22:27  zhangkuilong2018  阅读(215)  评论(0编辑  收藏  举报