R1(参看)#没有cdp run ,,#在边界路由器上关闭CDP协议,防止非法用户通过CDP检测内部网络
R1(参看)#没有服务tcp-small-service ,# echo 17;chargen 19;白天13;
R1(参看)#没有服务udp-small-service #关闭低端口服务,如防止* * *发送流量灌水到chargen服务端口,占用CPU资源,防止DoS * * *
R1(参看)#没有ip finger ,#关闭手指,防止* * *通过手指检查路由器登录的用户
R1(参看)#没有ip identd # identd允许远程设备为了识别目的查询的一个TCP端口,端口号为113;
R1(参看)#没有ip source-route #关闭IP源路,防止* * *利用IP源由选择路由来绕过防火墙;
R1(参看)#没有FTP服务器启用#关闭FTP服务器功能,防止* * *在路由器上建立FTP服务器;
R1(参看)#没有IP bootp server #防止* * *通过路由器作为引导启动;
R1(参看)#没有服务垫#垫(包组装/拆卸)用于25网络
R1(参看)#没有引导网络#禁止通过路由器作为TFTP启动
R1(参看)#没有服务配置#关闭服务器设定
R1(参看)#没有ip代理地址转换协议#有一种情况下,不应该关闭ARP代理:当路由器端远程接入IPSec×××连接时,当地设备要通过×××远程防问客户端,路由器响应来自本地设备的ARP请求,这种情况下要打开4月代理功能,
R1(参看)#没有ip定向广播# Dos * * *利用广播定向功能向特定的网络或是子网进行洪水* * *,
R1(参看)#没有ip访问# * * *使用Dos * * *来使路由器生成ICMP不可达消息;
R1(参看)#没有ip redirect # * * *可能利用ip重定向方法,让路由产生环路由,造成网络瘫痪;
R1(参看)#没有ip mask-reply #利用子网消息请求功能,* * *可进行定向广播DoS * * *子网;
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ACL参数说明:
优先:过滤特定的优先级别,范围为0到7级别.IP数据包头通常为服务质量保证(服务质量、Qos)和队列的目的进行流量分类。
<李>dscp:过滤ip数据包头中的区分服务代码(差异化服务代码点,dscp)值进行过滤;
<李>服务条款:过滤ip数据包头中的服务类型域,用于Qos实施
<李>日志:用于记录控制吧,内部缓存或是系统日志,被记录内容包括有TCP、UDP或是ICMP,记录源端口号和目的端口号等;
<李>log-input:记录的信息包括接收到的数据包的输入接口和数据包中的第二层源地址;
ACL例子:
100年访问列表允许TCP任何主机200.1.1.2 eq 25岁,,,,,,,,#任何流量都可以发送电子邮件流量到200.1.1.2
<李>100年访问列表允许tcp任何情商25主机200.1.1.2 established ,#内部电子邮件服务器发送邮件到外部服务器,并接收回复设立是用户发送到去的TCP流量将允许返回,但此参数在边界路由器上会产生有一漏洞,即是* * *可以利用返回数据的ACK \鳍\ PSH \ RST \ SYS等TCP标记位进行修改并进行* * *,
<李>在接口下利用ip会计违规访问进行ip统计
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
使用PAM和ACL来限制CBAC审查
,,,,,R1(配置)# 8080 ip port-map http端口列表1
,,R1(配置)#才能访问列表允许192.168.100.2 ,,,
,,,R1(配置)# 8090 ip port-map http端口列表2,
,,R1(配置)#才能访问列表允许192.168.100.3
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
使用ACL来处理TCP SYN洪水* * *
,,,,,R1(配置)# ip访问列表扩展tcp-syn-flood
,,,,,R1 (config-ext-nacl) #允许tcp任何200.1.1.0 0.0.0.255建立
,,,,,R1 (config-ext-nacl) #允许tcp任何主机200.1.1.11 eq 25,
,,,,,R1 (config-ext-acl) # ip否认任何
,,,,,R1(配置)#接口g0/1
,,,,,R1 (config-if) # ip访问组tcp-syn-flood在
,,,,,此例ACL不能阻止邮件服务器TCP SYN洪水* * *,要结合CBAC审查;
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
*使用ACL来阻塞蓝精灵和Fraggle,蓝精灵为icmp回声(回声)的Dos * * *, Fraggle是使用UDP回声进行* * *
