當(dāng)前位置：首頁>技術(shù)交流>內(nèi)網(wǎng)安全設(shè)計(jì)方案（五）

內(nèi)網(wǎng)安全設(shè)計(jì)方案（五）

訪問列表通過在路由器的接口上控制是否轉(zhuǎn)發(fā)或阻止路由包來過濾網(wǎng)絡(luò)流量。路由器檢查每個(gè)路由包并基于訪問列表中指定的規(guī)則來決定是否轉(zhuǎn)發(fā)或丟棄這個(gè)包。訪問列表規(guī)則可以是流量的源地址、流量的目的地址、上層協(xié)議或其它信息。注意，由于它無須認(rèn)證，所以一些水平高超的用戶有時(shí)可以成功地繞過或愚弄基本訪問列表。

Cisco IOS軟件提供了一組擴(kuò)展的安全特性，它允許針對特定的需求配置一個(gè)或簡單、或精密的防火墻。除了標(biāo)準(zhǔn)的Cisco IOS特性集中的可用安全特性外，還存在一個(gè)Cisco IOS防火墻特性集，它能夠?yàn)槁酚善魈峁└郊拥姆阑饓�功能。Cisco IOS防火墻特性集Cisco IOS防火墻特性集結(jié)合了現(xiàn)有的Cisco IOS防火墻技術(shù)和新的基于文本訪問控制（CBAC）的特性。在路由器上配置了Cisco IOS防火墻特性集后，路由器便轉(zhuǎn)變成了一個(gè)健壯而有效的防火墻。設(shè)計(jì)Cisco IOS防火墻特性集是用來防止外部非授權(quán)者獲得內(nèi)部網(wǎng)絡(luò)的訪問，并阻止來自外部的網(wǎng)絡(luò)攻擊，同時(shí)又允許授權(quán)者（機(jī)要人員）訪問特定的網(wǎng)絡(luò)資源。

使用Cisco IOS防火墻特性集可以把路由器配置成內(nèi)部網(wǎng)絡(luò)中組與組之間的防火墻。保護(hù)內(nèi)部網(wǎng)絡(luò)。要?jiǎng)?chuàng)建一個(gè)適合于公司安全策略的專用防火墻，必須采用合適的Cisco IOS防火墻特性，并對其進(jìn)行配置。至少應(yīng)該配置基本的流量過濾方法來提供基礎(chǔ)防火墻。

與其它所有網(wǎng)絡(luò)設(shè)備一樣，也應(yīng)該給防火墻配置上口令，同樣也應(yīng)該考慮配置用戶的認(rèn)證、授權(quán)和記帳功能，除此之外，還應(yīng)該考慮下述建議：在設(shè)置訪問防火墻特權(quán)的口令時(shí)，建議使用enable secret命令，而不是使用enable password命令，原因在于后者沒有提供前者那樣強(qiáng)大的加密算法。在控制端口設(shè)置上口令。在AAA環(huán)境中，在控制臺(tái)上使用與其它地方一樣的認(rèn)證，而在非AAA環(huán)境中，至少要配置login和password的口令設(shè)置命令。在使用任何方式把控制端口連接到網(wǎng)絡(luò)，包括在端口連接調(diào)制解調(diào)器（Modem）之前，應(yīng)該考慮一下訪問控制的問題，原因在于從控制端口的入侵，可能會(huì)獲得整個(gè)防火墻的控制權(quán)，甚至包括已配置的訪問控制。在所有虛擬終端的端口應(yīng)用上訪問列表和口令保護(hù)，使用訪問列表來限制通過Telnet進(jìn)入路由器的用戶。如果沒有必要的話，不要使用任何本地服務(wù)（例如SNMP和NTP）。在缺省情況下，防火墻上的CDP（即Cisco Discovery Protocol）和NTP（即Network Time Protocol）是打開的，如果不需要它們，則應(yīng)該關(guān)閉這些服務(wù)。如果必須運(yùn)行NTP，則只應(yīng)在必要的接口上配置NTP，并且配置為只偵聽某些對等端口。任何啟用的服務(wù)都可能存在潛在的安全威脅，敵意分子可能會(huì)發(fā)現(xiàn)一種濫用這些服務(wù)的方法來訪問防火墻或網(wǎng)絡(luò)。對啟用的本地服務(wù)，也要防止被濫用。配置這些服務(wù)，使其只能在指定的對等端口上進(jìn)行通信，并通過配置訪問列表在某些指定端口上拒絕這些服務(wù)包。 防止欺詐：保護(hù)防火墻兩邊的網(wǎng)絡(luò)，防止被第三方欺詐。應(yīng)該在所有端口配置訪問列表，只允許指定的源地址流量通過，而拒絕其它地址的流量。也應(yīng)該禁止源路由。

遠(yuǎn)程撥號接入的安全保護(hù)

采用安全的一次性密碼方法，嚴(yán)格實(shí)現(xiàn)授權(quán)、記帳功能。