注意路由器预设设定的细节教程?
1个回答
展开全部
大家都知道通过在路由器或交换机上设定访问控制列表ACL,可以在一定程度上起到提高安全,防范黑客与病毒攻击的效果,我所在公司也一直在使用这个方法。
然而,我却在实际工作中发现了一个影响安全的问题,如果对路由器的预设设定不注意的话,很可能会让强大的ACL列表失效,就好比二战的马其诺防线一样,病毒与黑客可以非常轻松地绕道攻击内网计算机。
安全分析:
有过路由器配置经验的读者应该知道网路管理员经常通过在路由器或交换机上设定访问控制列表来完成防范病毒和黑客的作用。Cisco出品的路由器或交换机的访问控制列表都预设在结尾添加了“DENY ANY ANY”语句,这句话的意思是将所有不符合访问控制列表ACL语句设定规则的资料包丢弃。
最近我所在公司添置了华为的2621系列路由器,一般情况下CISCO和华为装置的配置方法基本相同,所以我按照在Cisco路由器上的设定语句制定了ACL规则,并将这些规则输入到华为路由器上。由于CISCO预设自动新增DENY ANY ANY语句,所以我也想当然的认为华为路由器也会预设将这个命令新增。然而,在配置后却发现所有ACL过滤规则都没有生效,该过滤的资料包仍然被路由器正常转发。
经过反复研究、查询资料,我发现原来华为公司的访问控制列表在结尾处新增的是“PERMIT ANY ANY”语句,这样对于不符合访问控制列表ACL语句设定规则的资料包将容许通过,这样造成了一个严重后果,那就是不符合ACL设定规则的资料包也将被路由器无条件转发而不是Cisco公司采用的丢弃处理,这造成了该过滤的资料包没有被过滤,网内安全岌岌可危。非法资料包绕过了网路管理员精心设定的防病毒“马其诺防线”,从而轻而易举的侵入了使用者的内网。
解决措施:
如何解决这个问题呢?这个问题是因为华为路由器的预设设定造成的。我们可以在ACL的最后新增上“DENY ANY ANY”语句或将预设的ACL结尾语句设定为DENY ANY ANY.头一种方法仅仅对当前设定的ACL生效,以后设定新ACL时路由器还是预设容许所有资料包通过;而第二种方法则将修改路由器的预设值,将其修改成和CISCO装置一样的预设阻止所有资料包。
1、ACL规则直接新增法
在华为装置上设定完所有ACL语句后再使用“rule deny ip source any destination any”将没有符合规则的资料包实施丢弃处理。
2.修改预设设定法
在华为装置上使用“firewall default deny”,将预设设定从容许转发变为丢弃资料包。从而一劳百逸的解决预设漏洞问题。因此我推荐大家使用第二种方法解决这个预设设定的缺陷问题。
总结:
经过这次“马其诺”事件,我们可以发现即使是相同的配置命令,如果厂商不同最好事先查阅一下使用者手册特别注意预设设定,往往预设设定会造成很多不明不白的故障。发现问题以后也不要轻易怀疑装置硬体有问题,应该多从软体及配置命令入手查询问题所在。一个小小的预设设定就将精心打造的防病毒体系完全突破,所以对于我们这些网路管理员来说每次设定后都应该仔细测试下网路状况,确保所实施的手段得以生效。
然而,我却在实际工作中发现了一个影响安全的问题,如果对路由器的预设设定不注意的话,很可能会让强大的ACL列表失效,就好比二战的马其诺防线一样,病毒与黑客可以非常轻松地绕道攻击内网计算机。
安全分析:
有过路由器配置经验的读者应该知道网路管理员经常通过在路由器或交换机上设定访问控制列表来完成防范病毒和黑客的作用。Cisco出品的路由器或交换机的访问控制列表都预设在结尾添加了“DENY ANY ANY”语句,这句话的意思是将所有不符合访问控制列表ACL语句设定规则的资料包丢弃。
最近我所在公司添置了华为的2621系列路由器,一般情况下CISCO和华为装置的配置方法基本相同,所以我按照在Cisco路由器上的设定语句制定了ACL规则,并将这些规则输入到华为路由器上。由于CISCO预设自动新增DENY ANY ANY语句,所以我也想当然的认为华为路由器也会预设将这个命令新增。然而,在配置后却发现所有ACL过滤规则都没有生效,该过滤的资料包仍然被路由器正常转发。
经过反复研究、查询资料,我发现原来华为公司的访问控制列表在结尾处新增的是“PERMIT ANY ANY”语句,这样对于不符合访问控制列表ACL语句设定规则的资料包将容许通过,这样造成了一个严重后果,那就是不符合ACL设定规则的资料包也将被路由器无条件转发而不是Cisco公司采用的丢弃处理,这造成了该过滤的资料包没有被过滤,网内安全岌岌可危。非法资料包绕过了网路管理员精心设定的防病毒“马其诺防线”,从而轻而易举的侵入了使用者的内网。
解决措施:
如何解决这个问题呢?这个问题是因为华为路由器的预设设定造成的。我们可以在ACL的最后新增上“DENY ANY ANY”语句或将预设的ACL结尾语句设定为DENY ANY ANY.头一种方法仅仅对当前设定的ACL生效,以后设定新ACL时路由器还是预设容许所有资料包通过;而第二种方法则将修改路由器的预设值,将其修改成和CISCO装置一样的预设阻止所有资料包。
1、ACL规则直接新增法
在华为装置上设定完所有ACL语句后再使用“rule deny ip source any destination any”将没有符合规则的资料包实施丢弃处理。
2.修改预设设定法
在华为装置上使用“firewall default deny”,将预设设定从容许转发变为丢弃资料包。从而一劳百逸的解决预设漏洞问题。因此我推荐大家使用第二种方法解决这个预设设定的缺陷问题。
总结:
经过这次“马其诺”事件,我们可以发现即使是相同的配置命令,如果厂商不同最好事先查阅一下使用者手册特别注意预设设定,往往预设设定会造成很多不明不白的故障。发现问题以后也不要轻易怀疑装置硬体有问题,应该多从软体及配置命令入手查询问题所在。一个小小的预设设定就将精心打造的防病毒体系完全突破,所以对于我们这些网路管理员来说每次设定后都应该仔细测试下网路状况,确保所实施的手段得以生效。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
