访问控制列表:
1、标准访问控制列表
2、扩展访问控制列表
3、命名访问控制列表
控制列表末尾有一条隐式的deny any语句、
访问控制列表应遵循的一些原则:
1、在接口的特定方向上,每种协议只能有一个访问控制列表;
2、在访问控制列表中,将uti的测试条件放在前面;
3、新增的语句将放在访问控制列表的末尾;
4、不能进删除访问开工至列表中的一行,如果视同这样做,见该上传整个访问控制列表。
5、除非访问控制列表以permit any命令结尾,否则不满足任何条件的分组都将被丢弃;-----访问控制列表默认是全部deny;
6、创建访问控制列表后应应将其应用于接口;
7、访问控制列表用于过滤穿越路由器的数据流;应将IP标准访问控制列表放在离目的地尽可能近的地方,这就是我们不想在网络中使用标准访问控制列表的原因;
8、将IP扩张访问控制列表放在离信源尽可能远的地方;
使用ACL可缓解安全威胁:
1、IP地址欺骗(入站);
2、IP地址欺骗(出站)
3、拒绝服务(DoS)TCP SYN攻击(阻断外部攻击)
4、DoS TCP SYN攻击(使用TCP拦截)
5、DoS smurf攻击
6、拒绝/过滤ICMP消息(入站)
7、拒绝/过滤ICMP消息(出站)
8、拒绝/过滤traceroute。
标准访问控制列表:1~99,1300~1999;
通配符大小总比块大小小1;
access-list 10 deny 172.16.10.0 0.0.0.255
acc-list 10 permit any
int fa0/0
ip access-group 10 out;
确定块大小和通配符掩码时,需要牢记以下两点:
1、起始位置必须为0或者块大小的整数倍。
2、命令any与0.0.0.0 255.255.255.255 等价。
通知VTY(SSH/TELNET)访问;
access-list 50 permit host 172.16.10.3
line vty 0 4
access-class 50 in
Router(config)#access-list 110 deny tcp any 172.16.40.0 0.0.15.155
Router(config)#access-list 110 deny tcp any 172.16.192.0 0.0.63.255
Router(config)#access-list 110 permit any
Router(config)#interface f0/0
Router(config-if)#ip access-group 110 out
Router(config-if)#int f0/1
Router(config-if)#ip access-group 110 out
命名ACL:
ip access-list standard BlockSales
deny 172.16.40.0 0.0.0.155
permit any
Router(config)#interface fa0/0
Router(config-if)#ip access-group BlockSlaes out
Router(config-if)#exit
防DoS攻击常用工具:
1、入侵检测系统(IDS)
2、父亲防范系统(IPS)
R1(config)#no service ?
alignment Control alignment correction and logging
compress-config Compress the nvram configuration file
config TFTP load config files
dhcp Enable DHCP server and relay agent
disable-ip-fast-frag Disable IP particle-based fast fragmentation
exec-callback Enable exec callback
exec-wait Delay EXEC startup on noisy lines
finger Allow responses to finger requests
hide-telnet-addresses Hide destination addresses in telnet command
linenumber enable line number banner for each exec
nagle Enable Nagle's congestion control algorithm
old-slip-prompts Allow old scripts to operate with slip/ppp
pad Enable PAD commands
password-encryption Encrypt system passwords
prompt Enable mode specific prompt
pt-vty-logging Log significant VTY-Async events
sequence-numbers Stamp logger messages with a sequence number
slave-log Enable log capability of slave IPs
tcp-keepalives-in Generate keepalives on idle incoming network connections
tcp-keepalives-out Generate keepalives on idle outgoing networkconnections
tcp-small-servers Enable small TCP servers (e.g., ECHO)
telnet-zeroidle Set TCP window 0 when connection is idle
timestamps Timestamp debug/log messages
udp-small-servers Enable small UDP servers (e.g., ECHO)
TCP小程序:
echo:回显输入内容
chargen:生成ASCII数据流
discard:丢弃输入的内容
daytime:返回系统日期和时间
UDP小型服务:
echo:回显发送的数据保的有效负载
discard:小小的丢弃发送的数据报
chargen:丢弃发送的数据报。
阻断SNMP分组:
R1(config)#access-list 110 deny udp any any eq snmp
R1(config)#access-list 110 permit ip any any
R1(config)# int f 0/0
R1(config-if)#ip access-group 110 out
禁用echo
R1(config)#no service tcp-small-servers
R1(config)#no service udp-small-servers
禁用BootP自动配置
R1(config)#no ip bootp server
R1(config)#no service config
禁用HTTP进程:
R1(config)#no ip http server
禁用IP源路由选择
R1(config)#no ip source-route
禁用代理ARP
R1(config)#int fastEthernet 0/0
R1(config-if)#no ip proxy-arp
禁用重定向消息
R1(config)#interface fastEthernet 0/0
R1(config-if)#no ip redirects
禁止生成ICMP不可达消息:
R1(config)#interface fastEthernet 0/0
R1(config-if)#no ip unreachables
禁用组播路由缓存:
R1(config)#interface fastEthernet 0/0
R1(config-if)#no ip mroute-cache
禁用维护操作协议:
no mop enabled
关闭X.25 PAD 服务
noservice pad
启用Nale TCP拥塞算法
service nagle