您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

提升Cisco安全性 ACL设置需留心

目前路由行业发展非常迅速,大家都知道通过在路由器或交换机上设置访问控制列表ACL,可以在一定程度上起到提高安全,防范黑客与病毒攻击的效果。但如果对路由器设置不注意的话,很可能会让强大的ACL列表失效,病...

目前路由行业发展非常迅速,大家都知道通过在路由器或交换机上设置访问控制列表ACL,可以在一定程度上起到提高安全,防范黑客与病毒攻击的效果。但如果对路由器设置不注意的话,很可能会让强大的ACL列表失效,病毒与黑客可以非常轻松地绕道攻击内网计算机。

一、ACL设置错误

有过路由器设置经验的人知道网络管理员经常通过在路由器或交换机上设置访问控制列表来完成防范病毒和黑客的作用。

我们在Cisco路由器上的设置语句制定了ACL规则,并将这些规则输入到华为路由器设置上。CISCO默认自动添加DENYANYANY语句,但在配置后却发现所有ACL过滤规则都没有生效,该过滤的数据包仍然被路由器设置正常转发。

这是因为华为公司的访问控制列表在结尾处添加的是“PERMITANYANY”语句,这样对于不符合访问控制列表(ACL)语句设定规则的数据包将容许通过,不符合ACL设定规则的数据包也将被路由器设置无条件转发而不是Cisco公司采用的丢弃处理,这造成了该过滤的数据包没有被过滤,网内安全岌岌可危。

二、解决措施

这个问题是因为华为路由器设置造成的。我们可以在ACL的最后添加上“DENYANYANY”语句或将默认的ACL结尾语句设置为DENYANYANY。

头一种方法仅仅对当前设置的ACL生效,以后设置新ACL时路由器设置容许所有数据包通过;第二种方法则将修改路由器设置的默认值,将其修改成和CISCO设备一样的默认阻止所有数据包。

(1)ACL规则直接添加法

华为设备上设置完所有ACL语句后再使用“ruledenyipsourceanydestinationany”将没有符合规则的数据包实施丢弃处理。

(2)修改默认设置法

华为设备上使用“firewalldefaultdeny”,将默认设置从容许转发变为丢弃数据包。从而一劳百逸的解决默认漏洞问题。因此笔者推荐大家使用第二种方法解决这个默认设置的缺陷问题。

我们发现即使是相同的配置命令,如果厂商不同最好事先查阅一下用户手册,往往默认设置会造成很多不明不白的故障。

一个小小的默认设置就将精心打造的防病毒体系完全突破,所以对于我们这些网络管理员来说每次设置后都应该仔细测试下网络状况,确保所实施的手段得以生效。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号