首页 |缤纷校园 |心理援助 |英语世界 |公务员 |考研天地 |资格考试 |电脑认证 |免费论文 |实用文档 |求职就业 |论坛 |网络课堂 |留言版
 电脑认证首页     考试专题 考试提醒 计算机等级考试 计算机认证水平考试 IT认证 论坛
 最近更新
· [备考指南]路由器常用ACL和一些简单防…
· [备考指南]CCNA学习备考全面剖析
· [备考指南]帧中继网络OSPF配置要点
· [备考指南]配置防火墙使内网的web映射…
· [备考指南]第三版OSPF全面改善IP性能
· [备考指南]建立OSPF交互关系adjacenc…
· [备考指南]一个EIGRP特殊配置的例子
· [学习辅导]透过现象看问题交换机状态…
· [学习辅导]Cisco考试中Switch命令详细…
· [学习辅导]核心路由器的交换矩阵设计
 精品课程
· [医卫类精品课程]名师主讲口腔执业医师…
· [精品课程推荐]公务员考试权威专家网…
· [医卫类精品课程]中医执业医师考试网上…
· [医卫类精品课程]临床助理医师网络辅导…
· [工程类精品课程]公路监理工程师考试网…
· [医卫类精品课程]执业药师考试网上辅导…
· [医卫类精品课程]名师执业医师考试网上…
· [工程类精品课程]物业管理师考试名师团…
· [财经类精品课程]名师主讲会计从业资格…
· [工程类精品课程]城市规划师考试名师在…
 考试动态
· [二级考试动态]北京:07年下半年计算机等…
· [二级考试动态]2008年4月全国计算机等级考…
· [二级考试动态]2007年下半年计算机等级考…
· [二级考试动态]天津:2007年下半年全国计…
· [二级考试动态]计算机技术与软件专业技术…
· [二级考试动态]2007年计算机等级考试改期…
· [二级考试动态]河北07计算机考点出故障考…
· [二级考试动态]2007年贵州省计算机补考7月…
· [二级考试动态]了解考试系列:二级C语言的…
· [二级考试动态]了解考试系列:二级VC++语…
 试题下载
· [试题下载]07年计算机等级考试二级C+…
· [试题下载]07年计算机等级考试二级C+…
· [试题下载]07年计算机等级考试二级C+…
· [试题下载]07年计算机等级考试二级C+…
· [试题下载]C++词汇解析集锦编程开发人…
· [试题下载]计算机等级二级C语言程序设…
· [试题下载]计算机等级二级C语言程序设…
· [试题下载]计算机等级二级C语言程序设…
· [试题下载]计算机等级二级C语言程序设…
· [试题下载]计算机等级二级C语言程序设…
 学习辅导
· [学习辅导]在C++程序中添加逻辑流程控…
· [学习辅导]2000/XP用户名/密码终结者…
· [学习辅导]程序测试程序(配合游戏及学…
· [学习辅导]三言两语,妙说《指针》。
· [学习辅导]关于制作地图时矩阵的使用…
· [学习辅导]游戏及学习控制管理器
· [学习辅导]使用Rational进行C++转换的…
· [学习辅导]access如何用代码在“默认…
· [学习辅导]如何设置ACCESS2003(运行…
· [学习辅导]以指定工作组文件启动MDB文…
 

路由器常用ACL和一些简单防护
文章录入:admin    责任编辑:admin   2007-9-4 11:12:29  来源:考试大  点击数:
 

  1 IP欺骗简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址  (169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址  (20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。
  Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any
  Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any
  Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any
  Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any
  Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any
  Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any
  Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
  Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any
  Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any
  Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any
  Router(Config)# access-list 100 permit ip any any
  Router(Config-if)# ip access-group 100 in

  2 建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。(可选)如:
  Router(Config)# no access-list 101
  Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any
  Router(Config)# access-list 101 deny ip any any
  Router(Config)# interface eth 0/1
  Router(Config-if)# description “internet Ethernet”
  Router(Config-if)# ip address 192.168.0.254 255.255.255.0
  Router(Config-if)# ip access-group 101 in

  其他可选项:
  1、 建议启用SSH,废弃掉Telnet。但只有支持并带有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2仅支持SSH-V1。如下配置SSH服务的例子:
  Router(Config)# config t
  Router(Config)# no access-list 22
  Router(Config)# access-list 22 permit 192.168.0.22
  Router(Config)# access-list deny any
  Router(Config)# username test privilege 10 ****

  ! 设置SSH的超时间隔和尝试登录次数
  Router(Config)# ip ssh timeout 90
  Router(Config)# ip ssh anthentication-retries 2
  Router(Config)# line vty 0 4
  Router(Config-line)# access-class 22 in
  Router(Config-line)# transport input ssh
  Router(Config-line)# login local
  Router(Config-line)# exit

  !启用SSH服务,生成RSA密钥对。
  Router(Config)# crypto key generate rsa
  The name for the keys will be: router.xxx
  Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys .Choosing a key modulus greater than 512 may take a few minutes.
  How many bits in the modulus[512]: 2048
  Generating RSA Keys...
  Router(Config)#

  • 上一个文章:

  • 下一个文章: 没有了
    •
    发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    关于本站 - 广告服务 - 站内导航 - 网站声明 - 友情链接 - 联系我们
    Copyright©2003-2008 www.dastu.com, All Rights Reserved.

    心语心愿科技(北京)有限责任公司 版权所有

    鄂ICP备05000022号