考试网 >> IT认证 >> 思科 >> Cisco指导 >> 路由器安全配置速查表（二）

发布时间：2006-06-28 05:39     点击：

Specific Recommendations: Access Lists 



1. Always start an access-list definition with the privileged command no access-list nnn to clear out any previous versions of access list number nnn. 



fumtek(config)# no access-list 51 

fumtek(config)# access-list 51 permit host 14.2.9.6 

fumtek(config)# access-list 51 deny any log 



2. Log access list port messages properly. To ensure that logs contain correct port number information, use the port range arguments shown below at the end of an access list. 



access-list 106 deny udp any range 1 65535 any range 1 65535 log 

access-list 106 deny tcp any range 1 65535 any range 1 65535 log 

access-list 106 deny ip any any log 



The last line is necessary to ensure that rejected packets of protocols other than TCP and UDP are properly logged.  



3. Enforce traffic address restrictions using access lists. On a border router, allow only internal addresses to enter the router from the internal interfaces, and allow only traffic destined for internal addresses to enter the router from the outside (external interfaces). 

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。