【文章內(nèi)容簡(jiǎn)介】 媒體本身的安全。 路由器安全配置 作為企業(yè)局域網(wǎng)與外部 Inter 互聯(lián)網(wǎng)絡(luò)連接的第一關(guān)，路由器的配置是很重要的，既要保證網(wǎng)絡(luò)的暢通，也不能忽略網(wǎng)絡(luò)的安全性而只取其一（我們所使用的是 Cisco 2514 路由器），因此，除了對(duì)路由器與 Inter 外網(wǎng)連接配置外，我們對(duì)路由器還采用了如下安全配置：(1) 路由器網(wǎng)絡(luò)服務(wù)安全配置a、禁止 CDP(Cisco Discovery Protocol)。Router(Config)no cdp run Router(Configif) no cdp enableb、禁止其他的 TCP、UDP Small 服務(wù)。Router(Config) no service tcpsmallserversRouter(Config) no service udpsmallservers c、禁止 Finger 服務(wù)。Router(Config) no ip fingerRouter(Config) no service fingerd、禁止 HTTP 服務(wù)。 Router(Config) no ip server 啟用了 HTTP 服務(wù)則需要對(duì)其進(jìn)行安全配置：設(shè)置用戶名和密碼，采用訪問(wèn)列表進(jìn)行控制。 e、禁止 BOOTP 服務(wù)。Router(Config) no ip bootp server f、禁止 IP Source Routing。東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案Router(Config) no ip sourceroute g、禁止 IP Directed Broadcast。Router(Config) no ip directedbroadcast h、禁止 IP Classless。Router(Config) no ip classless i、禁止 ICMP 協(xié)議的 IP Unreachables, Redirects, Mask Replies。Router(Configif) no ip unreacheablesRouter(Configif) no ip redirectsRouter(Configif) no ip maskreply j、明確禁止不使用的端口。Router(Config) interface eth0/3Router(Config) shutdown/PP(2) 路由器路由協(xié)議安全配置 a、啟用 IP Unicast ReversePath Verification。它能夠檢查源 IP 地址的準(zhǔn)確性，從而可以防止一定的 IP Spooling。b、配置 uRPF。uRPF 有三種方式，strict 方式、ACL 方式和 loose 方式。在接入路由器上實(shí)施時(shí)，對(duì)于通過(guò)單鏈路接入網(wǎng)絡(luò)的用戶，建議采用 strict 方式；對(duì)于通過(guò)多條鏈路接入到網(wǎng)絡(luò)的用戶，可以采用 ACL 方式和 loose 方式。在出口路由器上實(shí)施時(shí)，采用 loose 方式。/PPStrict 方式：Router config t！啟用 CEFRouter(Config) ip cef！啟用 Unicast ReversePath VerificationRouter(Config) interface eth0/1Router(Configif) ip verify unicast reversepath /PPACL 方式：interface pos1/0ip verify unicast reversepath 190accesslist 190 permit ip {customer work} {customer work mask} any accesslist 190 deny ip any any [log] 這個(gè)功能檢查每一個(gè)經(jīng)過(guò)路由器的數(shù)據(jù)包的源地址，若是不符合 ACL 的，路由器將丟棄該數(shù)據(jù)包。Loose 方式：interface pos 1/0ip ver unicast source reachablevia any東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案這個(gè)功能檢查每一個(gè)經(jīng)過(guò)路由器的數(shù)據(jù)包，在路由器的路由表中若沒(méi)有該數(shù)據(jù)包源 IP 地址的路由，路由器將丟棄該數(shù)據(jù)包。/PP2 啟用 OSPF 路由協(xié)議的認(rèn)證。默認(rèn)的 OSPF 認(rèn)證密碼是明文傳輸?shù)?，建議啟用 MD5 認(rèn)證。并設(shè)置一定強(qiáng)度密鑰(key,相對(duì)的路由器必須有相同的 Key)。 c、RIP 協(xié)議的認(rèn)證。只有 RIPV2 支持，RIP1 不支持。建議啟用 RIPV2。并且采用 MD5 認(rèn)證。普通認(rèn)證同樣是明文傳輸?shù)摹?d、啟用 passiveinterface 命令可以禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口。建議對(duì)于不需要路由的端口，啟用 passiveinterface。但是，在 RIP 協(xié)議是只是禁止轉(zhuǎn)發(fā)路由信息，并沒(méi)有禁止接收。在 OSPF 協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由信息。 e、啟用訪問(wèn)列表過(guò)濾一些垃圾和惡意路由信息,控制網(wǎng)絡(luò)的垃圾信息流。如：Router(Config) accesslist 10 deny Router(Config) accesslist 10 permit any ！禁止路由器接收更新 網(wǎng)絡(luò)的路由信息Router(Config) router ospf 100Router(Configrouter) distributelist 10 in！禁止路由器轉(zhuǎn)發(fā)傳播 網(wǎng)絡(luò)的路由信息Router(Config) router ospf 100Router(Configrouter) distributelist 10 out/PP(3) 路由器其他安全配置 a、IP 欺騙簡(jiǎn)單防護(hù)。如過(guò)濾非公有地址訪問(wèn)內(nèi)部網(wǎng)絡(luò)。過(guò)濾自己內(nèi)部網(wǎng)絡(luò)地址；回環(huán)地址()；RFC1918 私有地址；DHCP 自定義地址()；科學(xué)文檔作者測(cè)試用地址()；不用的組播地址()；SUN 公司的古老的測(cè)試地址(。)；全網(wǎng)絡(luò)地址()。Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any 東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 permit ip any anyRouter(Configif) ip accessgroup 100 in/PP b、采用訪問(wèn)列表控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是屬于內(nèi)部網(wǎng)絡(luò)的。Router(Config) no accesslist 101Router(Config) accesslist 101 permit ip anyRouter(Config) accesslist 101 deny ip any any Router(Config) interface eth 0/1Router(Configif) description “inter Ether”Router(Configif) ip address Router(Configif) ip accessgroup 101 in/PP 防火墻技術(shù)安全配置 網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。(1) 防火墻的基本配置原則防火墻的配置過(guò)程中需堅(jiān)持以下三個(gè)基本原則： a、簡(jiǎn)單實(shí)用 b、全面深入 c、內(nèi)外兼顧 (2) 防火墻的基本配置 a、用一條防火墻自帶的串行電纜從筆記本電腦的 COM 口連到 Cisco PIX 525防火墻的 console 口； b、開(kāi)啟所連電腦和防火墻的電源，進(jìn)入 Windows 系統(tǒng)自帶的超級(jí)終端，通訊參數(shù)可按系統(tǒng)默認(rèn)。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱)、inside ip address(內(nèi)部網(wǎng)卡 IP 地址)、domain(主域)等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255。 c、修改此特權(quán)用戶模式密碼。 命令格式為：enable password **************** [encrypted]，這個(gè)密碼必須大于 16 位。Encrypted 選項(xiàng)是確定所加密碼是否需要加密。 d、激活以太端口東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案必須用 enable 進(jìn)入，然后進(jìn)入 configure 模式PIX525enablePassword:PIX525config tPIX525(config)interface ether0 autoPIX525(config)interface ether1 auto在默認(rèn)情況下 ether0 是屬外部網(wǎng)卡 outside, ether1 是屬內(nèi)部網(wǎng)卡inside, inside 在初始化配置成功的情況下已經(jīng)被激活生效了，但是 outside 必須命令配置激活。 e、命名端口與安全級(jí)別采用命令 nameifPIX525(config)nameif ether0 outside security0PIX525(config)nameif ether0 outside security100security0 是外部端口 outside 的安全級(jí)別（0 安全級(jí)別最高）security100 是內(nèi)部端口 inside 的安全級(jí)別,如果中間還有以太口，則security10，security20 等等命名，多個(gè)網(wǎng)卡組成多個(gè)網(wǎng)絡(luò)，一般情況下增加一個(gè)以太口作為 DMZ(Demilitarized Zones 非武裝區(qū)域)。 f、配置以太端口 IP 地址采用命令為：ip address內(nèi)部網(wǎng)絡(luò)為： 外部網(wǎng)絡(luò)為： PIX525(config)ip address inside PIX525(config)ip address outside g、配置遠(yuǎn)程訪問(wèn)[tel]在默認(rèn)情況下，PIX 的以太端口是不允許 tel 的，這一點(diǎn)與路由器有區(qū)別。Inside 端口可以做 tel 就能用了,但 outside 端口還跟一些安全配置有關(guān)。PIX525(config)tel insidePIX525(config)tel outside測(cè)試 tel在[開(kāi)始][運(yùn)行]tel PIX passwd:輸入密碼：**************** h、訪問(wèn)列表(accesslist)東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案訪問(wèn)列表也是 Firewall 的主要部分，有 permit 和 deny 兩個(gè)功能，網(wǎng)絡(luò)協(xié)議一般有 IP|TCP|UDP|ICMP 等等，允許訪問(wèn)主機(jī): 的 ,端口為：80PIX525(config)accesslist 100 permit ip any host eq PIX525(config)accesslist 100 deny ip any anyPIX525(config)accessgroup 100 in interface outside i、地址轉(zhuǎn)換（NAT）和端口轉(zhuǎn)換(PAT)NAT 跟路由器基本是一樣的，首先必須定義 IP Pool，提供給內(nèi)部 IP 地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。PIX525(config)global (outside) 1 mask PIX525(config)nat (outside) 1 外部地址是很有限的，主機(jī)必須單獨(dú)占用一個(gè) IP 地址，解決公用一個(gè)外部IP(),則必須配置 PAT，這樣就能解決更多用戶同時(shí)共享一個(gè) IP,有點(diǎn)像代理服務(wù)器一樣的功能。配置如下：PIX525(config)global (outside) 1 mask PIX525(config