不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦>學(xué)習(xí)電腦>網(wǎng)絡(luò)知識(shí)>路由器>路由器設(shè)置>cisco思科>

怎么設(shè)置cisco路由器阻斷局域網(wǎng)病毒傳播路徑

時(shí)間: 權(quán)威724 分享

  思科cisco依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,其出產(chǎn)的cisco路由器設(shè)備也是全球一流,那么你知道怎么設(shè)置cisco路由器阻斷局域網(wǎng)病毒傳播路徑嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于怎么設(shè)置cisco路由器阻斷局域網(wǎng)病毒傳播路徑的相關(guān)資料,供你參考。

  設(shè)置cisco路由器阻斷局域網(wǎng)病毒傳播路徑的方法

  首先我們要了解阻斷原理是什么

  cisco路由器作為網(wǎng)絡(luò)中的關(guān)鍵設(shè)備是否可以阻隔病毒的傳染呢? cisco路由器作為內(nèi)部PC機(jī)的跨網(wǎng)段訪問的通道,如果我們將這些端口限制掉,便可以防止病毒通過cisco路由器從外網(wǎng)進(jìn)入同時(shí)也可以防止內(nèi)部的病毒通過cisco路由器向外傳染病毒。

  cisco路由器作為NAT地址轉(zhuǎn)換接入到Internet,在cisco路由器的太口都配置防火墻將危險(xiǎn)的目標(biāo)端口所有的報(bào)文都限制掉,這樣從Internet對(duì)內(nèi)部網(wǎng)發(fā)起的攻擊cisco路由器將病毒攻擊報(bào)文阻隔掉無法進(jìn)入到內(nèi)部網(wǎng)來。

  另外,如果內(nèi)部的PC已經(jīng)感染了病毒也無法通過cisco路由器將病毒的攻擊報(bào)文傳到外部網(wǎng)去。需要注意的是:通過cisco路由器阻止病毒傳播是建立在局域網(wǎng)子網(wǎng)劃分的基礎(chǔ)之上的。如果沒有細(xì)化的子網(wǎng)病毒傳染是無法阻隔的,因?yàn)橥粋€(gè)網(wǎng)段的PC的網(wǎng)絡(luò)傳輸是不通過cisco路由器進(jìn)行報(bào)文轉(zhuǎn)發(fā)的。好在規(guī)模較大的局域網(wǎng)都劃分了子網(wǎng),并且各子網(wǎng)直接通過cisco路由器/交換機(jī)來隔離。

  接著我們來看看阻斷措施有哪些

  (1)端口加固

  要想cisco路由器這座城墻固若金湯,密碼的設(shè)置當(dāng)然非常重要。一般情況下,網(wǎng)絡(luò)管理人員可以通過cisco路由器的Console Aux和Ethernet口登錄到cisco路由器,然后進(jìn)行配置。這種情況雖然方便了管理,但非法之徒也可以乘虛而入,所以給相應(yīng)的端口加上密碼是必須的常規(guī)配置方法。以Aux端口為例,命令如下:

  Router#configure terminal

  Enter configuration commands, one per line. End with CNTL/Z.

  Router(config)#line aux 0

  Router(config-line)#password test54ee

  Router(config-line)#login

  顯然,配置密碼時(shí)應(yīng)該加強(qiáng)密碼的混合度使非法入侵者不那么輕松破門而入進(jìn)行大肆攻擊cisco路由器。不少管理員對(duì)超級(jí)用戶密碼進(jìn)行設(shè)置時(shí)使用配置命令enable password,這就埋下了一大安全隱患。鑒于此,推薦用戶使用enable secret命令對(duì)密碼進(jìn)行加密,這種加密采用了MD5散列算法較前一配置更為安全。

  Router(config)#enable secret test54ee

  (2)過濾ICMP報(bào)文

  惡性的ping是局域網(wǎng)病毒常常采用的攻擊方式。病毒隨機(jī)生成ping的目標(biāo)地址,然后通過cisco路由器來進(jìn)行報(bào)文轉(zhuǎn)發(fā),因此在cisco路由器中就需要為每個(gè)ping的ICMP報(bào)文創(chuàng)建一條NAT的對(duì)應(yīng)表。如果管理員在特權(quán)用戶模式下查看該表時(shí),若是用戶看到大量的ICMP的NAT的session就應(yīng)該警惕地想到是否已經(jīng)中招(即遭到拒絕服務(wù)攻擊)。

  如果病毒惡性的發(fā)動(dòng)ICMP的ping攻擊,在幾秒鐘內(nèi)發(fā)出上萬個(gè)ping報(bào)文則會(huì)在NAT表中占用了大量的NAT的Session的連接。而UDP的NAT的SESSlON的存在時(shí)間為5秒,TCP連接的NAT的SESSION的保存時(shí)間為24小時(shí),這種惡性的ping攻擊便可能將NAT的SESSION的值全部占用。造成的后果是,正常的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文由于cisco路由器的全部的NAT的SESSlON都被占用得不到NAT的服務(wù)會(huì)造成無法進(jìn)行正常的網(wǎng)絡(luò)通訊。因此,我們可以采用訪問列表的方式將ICMP的報(bào)文過濾掉,保證正常的網(wǎng)絡(luò)服務(wù)。我們可以通過下面命令屏蔽來自外部和內(nèi)部的ICMP包。

  Router(Config)#access-list 110 deny icmp any any echo log

  Router(Config)#access-list 110 deny icmp any any redirect log

  Router(Config)#access-list 110 deny icmp any any mask-request log

  Router(Config)#access-list 110 permit icmp any any

  Router(Config)#access-list 111 permit icmp any any echo

  Router(Config)#access-list 111 permit icmp any any Parameter-problem

  Router(Config)#access-list 111 permit icmp any any packet-too-big

  Router(Config)#access-list 111 permit icmp any any source-quench

  Router(Config)#access-list 111 deny icmp any any log

  (3)端口過濾

  在cisco路由器的出口和入口創(chuàng)建訪問列表來控制病毒的出入,這些訪問控制列表都是基于端口(比如135、136、445、4444等)的。通常情況下,管理員可通過察看數(shù)據(jù)包的數(shù)目,以調(diào)整他們的順序,將轉(zhuǎn)換多的包放在前面可以提高速度。

  Router(Config)#Access-list 110 deny tcp any any eq 135

  Router(Config)#Access-list 110 deny udp any any eq 135

  Router(Config)#Access-list 110 deny tcp any any eq 136

  Router(Config)#Access-list 110 deny udp any any eq 136

  Router(Config)#Access-list 110 deny tcp any any eq 445

  Router(Config)#Access-list 110 deny udp any any eq 445

  Router(Config)#Access-list 110 deny tcp any any eq 4444

  Router(Config)#Access-list 110 deny udp any any eq 4444

  按照上述方式,將列表應(yīng)用到相應(yīng)的端口即可以了。

怎么設(shè)置cisco路由器阻斷局域網(wǎng)病毒傳播路徑

思科cisco依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,其出產(chǎn)的cisco路由器設(shè)備也是全球一流,那么你知道怎么設(shè)置cisco路由器阻斷局域網(wǎng)病毒傳播路徑嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于怎么設(shè)置cis
推薦度:
點(diǎn)擊下載文檔文檔為doc格式

精選文章

  • 怎么使用思科IOS路由器過濾網(wǎng)頁內(nèi)容
    怎么使用思科IOS路由器過濾網(wǎng)頁內(nèi)容

    思科cisco依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,其出產(chǎn)的路由器設(shè)備也是世界一流,那么你知道怎么使用

  • Cisco設(shè)備如何應(yīng)用應(yīng)用TFTP服務(wù)器
    Cisco設(shè)備如何應(yīng)用應(yīng)用TFTP服務(wù)器

    思科依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,其出產(chǎn)的路由器設(shè)備也是世界一流,那么你知道Cisco設(shè)備如何

  • Cisco Catalyst3560-E安全特性
    Cisco Catalyst3560-E安全特性

    cisco思科依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,其出產(chǎn)的路由器設(shè)備也是世界一流,那么你知道Cisco Cata

  • 思科SSL怎么配置
    思科SSL怎么配置

    思科cisco依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,他出產(chǎn)的路由設(shè)備也是世界一流,那么你知道思科SSL 怎么

569665