zoukankan      html  css  js  c++  java
  • 第12章 安全

    访问控制列表:

    1、标准访问控制列表

    2、扩展访问控制列表

    3、命名访问控制列表

    控制列表末尾有一条隐式的deny any语句、

    访问控制列表应遵循的一些原则:

    1、在接口的特定方向上,每种协议只能有一个访问控制列表;

    2、在访问控制列表中,将uti的测试条件放在前面;

    3、新增的语句将放在访问控制列表的末尾;

    4、不能进删除访问开工至列表中的一行,如果视同这样做,见该上传整个访问控制列表。

    5、除非访问控制列表以permit any命令结尾,否则不满足任何条件的分组都将被丢弃;-----访问控制列表默认是全部deny;

    6、创建访问控制列表后应应将其应用于接口;

    7、访问控制列表用于过滤穿越路由器的数据流;应将IP标准访问控制列表放在离目的地尽可能近的地方,这就是我们不想在网络中使用标准访问控制列表的原因;

    8、将IP扩张访问控制列表放在离信源尽可能远的地方;

    使用ACL可缓解安全威胁:

    1、IP地址欺骗(入站);

    2、IP地址欺骗(出站)

    3、拒绝服务(DoS)TCP SYN攻击(阻断外部攻击)

    4、DoS TCP SYN攻击(使用TCP拦截)

    5、DoS smurf攻击

    6、拒绝/过滤ICMP消息(入站)

    7、拒绝/过滤ICMP消息(出站)

    8、拒绝/过滤traceroute。

    标准访问控制列表:1~99,1300~1999;

    通配符大小总比块大小小1;

    access-list 10 deny 172.16.10.0 0.0.0.255

    acc-list 10 permit any

    int fa0/0

    ip access-group 10 out;

    确定块大小和通配符掩码时,需要牢记以下两点:

    1、起始位置必须为0或者块大小的整数倍。

    2、命令any与0.0.0.0 255.255.255.255 等价。

    通知VTY(SSH/TELNET)访问;

    access-list 50 permit host 172.16.10.3

    line vty 0 4

    access-class 50 in

    Router(config)#access-list 110 deny tcp any 172.16.40.0 0.0.15.155
    Router(config)#access-list 110 deny tcp any 172.16.192.0 0.0.63.255
    Router(config)#access-list 110 permit any

    Router(config)#interface f0/0
    Router(config-if)#ip access-group 110 out
    Router(config-if)#int f0/1
    Router(config-if)#ip access-group 110 out

    命名ACL:

    ip access-list standard BlockSales
    deny 172.16.40.0 0.0.0.155
    permit any

    Router(config)#interface fa0/0
    Router(config-if)#ip access-group BlockSlaes out

    Router(config-if)#exit

    防DoS攻击常用工具:

    1、入侵检测系统(IDS)

    2、父亲防范系统(IPS)

    R1(config)#no service ?
    alignment                  Control alignment correction and logging
    compress-config     Compress the nvram configuration file
    config                       TFTP load config files
    dhcp                                Enable DHCP server and relay agent
    disable-ip-fast-frag         Disable IP particle-based fast fragmentation
    exec-callback                 Enable exec callback
    exec-wait                      Delay EXEC startup on noisy lines
    finger                          Allow responses to finger requests
    hide-telnet-addresses                  Hide destination addresses in telnet command
    linenumber                       enable line number banner for each exec
    nagle                          Enable Nagle's congestion control algorithm
    old-slip-prompts                Allow old scripts to operate with slip/ppp
    pad                             Enable PAD commands
    password-encryption                     Encrypt system passwords
    prompt                         Enable mode specific prompt
    pt-vty-logging                   Log significant VTY-Async events
    sequence-numbers                Stamp logger messages with a sequence number
    slave-log                         Enable log capability of slave IPs
    tcp-keepalives-in                    Generate keepalives on idle incoming network   connections
    tcp-keepalives-out                           Generate keepalives on idle outgoing networkconnections
    tcp-small-servers                             Enable small TCP servers (e.g., ECHO)
    telnet-zeroidle                                    Set TCP window 0 when connection is idle
    timestamps                              Timestamp debug/log messages
    udp-small-servers                     Enable small UDP servers (e.g., ECHO)

    TCP小程序:

    echo:回显输入内容

    chargen:生成ASCII数据流

    discard:丢弃输入的内容

    daytime:返回系统日期和时间

    UDP小型服务:

    echo:回显发送的数据保的有效负载

    discard:小小的丢弃发送的数据报

    chargen:丢弃发送的数据报。

    阻断SNMP分组:

    R1(config)#access-list 110 deny udp any any eq snmp
    R1(config)#access-list 110 permit ip any any

    R1(config)# int f 0/0
    R1(config-if)#ip access-group 110 out

    禁用echo

    R1(config)#no service tcp-small-servers
    R1(config)#no service udp-small-servers

    禁用BootP自动配置

    R1(config)#no ip bootp server
    R1(config)#no service config

    禁用HTTP进程:

    R1(config)#no ip http server 

    禁用IP源路由选择

    R1(config)#no ip source-route 

    禁用代理ARP

    R1(config)#int fastEthernet 0/0
    R1(config-if)#no ip proxy-arp

    禁用重定向消息

    R1(config)#interface fastEthernet 0/0
    R1(config-if)#no ip redirects

    禁止生成ICMP不可达消息:

    R1(config)#interface fastEthernet 0/0

    R1(config-if)#no ip unreachables

    禁用组播路由缓存:

    R1(config)#interface fastEthernet 0/0

    R1(config-if)#no ip mroute-cache

    禁用维护操作协议:

    no mop enabled

    关闭X.25 PAD 服务

    noservice pad

    启用Nale TCP拥塞算法

    service nagle

  • 相关阅读:
    关于html元素Css样式设置的一点心得(特别是与位置有关的,还有外边距、内边距有关的那些)
    【idea的一个安装细节】是不是使用idea不能连接网络了?
    html中a标签属性parent和self的举例说明
    关于jquery的each的操作;
    superagent中文文档
    mongoose 查询子文档的方法
    Object.prototype.toString.call()进行类型判断
    局部函数的直接引用与调用
    数据模型中某个字段是单选或者多选的定义方式;
    nodejs项目中的路由写法
  • 原文地址:https://www.cnblogs.com/zhangkuilong/p/9326378.html
Copyright © 2011-2022 走看看