考试网 >> IT认证 >> 思科 >> Cisco指导 >> 利用CISCO路由器建立企业网络的安全机制

发布时间：2006-06-28 06:16     点击：

access-list 101 permit ip any any log

access-list 102 permit tcp any any log

access-list 102 permit udp any any log

access-list 102 permit ip any any log

logging buffered

一段时间后，使用"show log"命令显示匹配访问列表的每个报文的细节信息。由于路由器的log buffer有限，为更彻底了解企业使用TCP/IP端口的详细情况，可以使用"logging A.B.C.E"命令将路由器所搜集的log信息传送到IP 地址为A.B.C.E的syslog server上，windows平台上的免费syslog server 软件可到http://support.3com.com/software/ut...bit.htm处下载。

二、根据具体应用，确立访问列表的内容

1． 过滤TCP（Transmission Control Protocol）协议

例如：某个企业（如图）总部在网络上为其分支机构提供的应用主要有：⑴远程登录访问（telnet: TCP port 23）⑵发送接收电子邮件（smtp:TCP port 25,pop3:TCP port 110）⑶WWW（http:TCP port 80），而总部可以任意访问他的分支机构，



那么他的路由器的访问列表定义如下：



access-list 100 permit tcp any 192.168.18.0 0.0.0.255 eq 23

access-list 100 permit tcp any 192.168.18.0 0.0.0.255 eq 25

access-list 100 permit tcp any 192.168.18.0 0.0.0.255 eq 110

access-list 100 permit tcp any 192.168.18.0 0.0.0.255 eq 80

access-list 100 permit tcp any any established

……

interface serial 0

ip access-group 100 in

由于路由器对流经Serial 0 的TCP报文均按照access-list 访问列表的内容顺序进行检测，这无疑将大大加重路由器CPU的负担，因此，建立访问列表一段时间后，可使用命令"show access-list 100"检查每项access-list 后面括号中TCP报文的matched数，根据matched数由大到小的顺序重新排列访问列表每个access-list的顺序，这样可以减少报文在访问列表中不必要的检测，减少特定报文查找访问列表的时间，降低路由器CPU的负担。

这就确保了进入企业内部网络的报文，其目的端口号必须大于1023。那么，黑客的攻击报文即使欺骗地使用了ACK和RST位，企图逃脱访问列表项的控制，但是它的端口号必须大于1023，这能使得欺骗性的报文不会对端口号低于1024的网络设备如FTP、DNS、HTTP等服务器造成影响，在一定程度上提高了网络的安全性。

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。