也許很多人對路由器設(shè)置還不是特別的了解����,這里我們主要介紹進行路由器設(shè)置時注意默認值的修改����。大家都知道通過在路由器或交換機上設(shè)置訪問控制列表ACL����,可以在一定程度上起到提高安全,防范黑客與病毒攻擊的效果����,筆者所在公司也一直在使用這個方法����。
然而,筆者卻在實際工作中發(fā)現(xiàn)了一個影響安全的問題����,如果對路由器設(shè)置不注意的話,很可能會讓強大的ACL列表失效����,就好比二戰(zhàn)的馬其諾防線一樣,病毒與黑客可以非常輕松地繞道攻擊內(nèi)網(wǎng)計算機����。
安全分析:
有過路由器設(shè)置經(jīng)驗的讀者應(yīng)該知道網(wǎng)絡(luò)管理員經(jīng)常通過在路由器或交換機上設(shè)置訪問控制列表來完成防范病毒和黑客的作用����。Cisco出品的路由器或交換機的訪問控制列表都默認在結(jié)尾添加了"DENYANYANY"語句����,這句話的意思是將所有不符合訪問控制列表(ACL)語句設(shè)定規(guī)則的數(shù)據(jù)包丟棄。
最近筆者所在公司添置了華為的2621系列路由器����,一般情況下CISCO和華為設(shè)備的配置方法基本相同,所以筆者按照在Cisco路由器設(shè)置語句制定了ACL規(guī)則����,并將這些規(guī)則輸入到華為路由器上。由于CISCO默認自動添加DENYANYANY語句����,所以筆者也想當然的認為華為路由器也會默認將這個命令添加。然而����,在配置后卻發(fā)現(xiàn)所有ACL過濾規(guī)則都沒有生效,該過濾的數(shù)據(jù)包仍然被路由器正常轉(zhuǎn)發(fā)����。
經(jīng)過反復(fù)研究����、查詢資料����,筆者發(fā)現(xiàn)原來華為公司的訪問控制列表在結(jié)尾處添加的是"PERMITANYANY"語句,這樣對于不符合訪問控制列表(ACL)語句設(shè)定規(guī)則的數(shù)據(jù)包將容許通過����,這樣造成了一個嚴重后果,那就是不符合ACL設(shè)定規(guī)則的數(shù)據(jù)包也將被路由器無條件轉(zhuǎn)發(fā)而不是Cisco公司采用的丟棄處理����,這造成了該過濾的數(shù)據(jù)包沒有被過濾����,網(wǎng)內(nèi)安全岌岌可危。非法數(shù)據(jù)包繞過了網(wǎng)絡(luò)管理員精心設(shè)置的防病毒"馬其諾防線"����,從而輕而易舉的侵入了用戶的內(nèi)網(wǎng)。
解決措施:
如何解決這個問題呢?這個問題是因為華為路由器設(shè)置造成的����。我們可以在ACL的最后添加上"DENYANYANY"語句或?qū)⒛J的ACL結(jié)尾語句設(shè)置為DENYANYANY.頭一種方法僅僅對當前設(shè)置的ACL生效����,以后設(shè)置新ACL時路由器還是默認容許所有數(shù)據(jù)包通過;而第二種方法則將修改路由器設(shè)置的默認值����,將其修改成和CISCO設(shè)備一樣的默認阻止所有數(shù)據(jù)包。
1����、ACL規(guī)則直接添加法,在華為設(shè)備上設(shè)置完所有ACL語句后再使用"ruledenyipsourceanydestinationany"將沒有符合規(guī)則的數(shù)據(jù)包實施丟棄處理����。
2.修改默認設(shè)置法
在華為設(shè)備上使用"firewalldefaultdeny",將默認設(shè)置從容許轉(zhuǎn)發(fā)變?yōu)閬G棄數(shù)據(jù)包����。從而一勞百逸的解決默認漏洞問題。因此筆者推薦大家使用第二種方法解決這個默認設(shè)置的缺陷問題����。
總結(jié):
經(jīng)過這次"馬其諾"事件,我們可以發(fā)現(xiàn)即使是相同的配置命令����,如果廠商不同最好事先查閱一下用戶手冊(特別注意默認設(shè)置)����,往往默認設(shè)置會造成很多不明不白的故障����。發(fā)現(xiàn)問題以后也不要輕易懷疑設(shè)備硬件有問題,應(yīng)該多從軟件及配置命令入手查找問題所在����。一個小小的默認設(shè)置就將精心打造的防病毒體系完全突破,所以對于我們這些網(wǎng)絡(luò)管理員來說每次設(shè)置后都應(yīng)該仔細測試下網(wǎng)絡(luò)狀況����,確保所實施的手段得以生效。
關(guān)鍵詞標簽:路由器,路由器設(shè)置
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程