【文章內(nèi)容簡介】 媒體本身的安全。 路由器安全配置 作為企業(yè)局域網(wǎng)與外部 Inter 互聯(lián)網(wǎng)絡(luò)連接的第一關(guān)，路由器的配置是很重要的，既要保證網(wǎng)絡(luò)的暢通，也不能忽略網(wǎng)絡(luò)的安全性而只取其一（我們所使用的是 Cisco 2514 路由器），因此，除了對路由器與 Inter 外網(wǎng)連接配置外，我們對路由器還采用了如下安全配置：(1) 路由器網(wǎng)絡(luò)服務(wù)安全配置a、禁止 CDP(Cisco Discovery Protocol)。Router(Config)no cdp run Router(Configif) no cdp enableb、禁止其他的 TCP、UDP Small 服務(wù)。Router(Config) no service tcpsmallserversRouter(Config) no service udpsmallservers c、禁止 Finger 服務(wù)。Router(Config) no ip fingerRouter(Config) no service fingerd、禁止 HTTP 服務(wù)。 Router(Config) no ip server 啟用了 HTTP 服務(wù)則需要對其進(jìn)行安全配置：設(shè)置用戶名和密碼，采用訪問列表進(jìn)行控制。 e、禁止 BOOTP 服務(wù)。Router(Config) no ip bootp server f、禁止 IP Source Routing。東華理工大學(xué)畢業(yè)設(shè)計（論文） 企業(yè)局域網(wǎng)的安全設(shè)計方案Router(Config) no ip sourceroute g、禁止 IP Directed Broadcast。Router(Config) no ip directedbroadcast h、禁止 IP Classless。Router(Config) no ip classless i、禁止 ICMP 協(xié)議的 IP Unreachables, Redirects, Mask Replies。Router(Configif) no ip unreacheablesRouter(Configif) no ip redirectsRouter(Configif) no ip maskreply j、明確禁止不使用的端口。Router(Config) interface eth0/3Router(Config) shutdown/PP(2) 路由器路由協(xié)議安全配置 a、啟用 IP Unicast ReversePath Verification。它能夠檢查源 IP 地址的準(zhǔn)確性，從而可以防止一定的 IP Spooling。b、配置 uRPF。uRPF 有三種方式，strict 方式、ACL 方式和 loose 方式。在接入路由器上實施時，對于通過單鏈路接入網(wǎng)絡(luò)的用戶，建議采用 strict 方式；對于通過多條鏈路接入到網(wǎng)絡(luò)的用戶，可以采用 ACL 方式和 loose 方式。在出口路由器上實施時，采用 loose 方式。/PPStrict 方式：Router config t！啟用 CEFRouter(Config) ip cef！啟用 Unicast ReversePath VerificationRouter(Config) interface eth0/1Router(Configif) ip verify unicast reversepath /PPACL 方式：interface pos1/0ip verify unicast reversepath 190accesslist 190 permit ip {customer work} {customer work mask} any accesslist 190 deny ip any any [log] 這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包的源地址，若是不符合 ACL 的，路由器將丟棄該數(shù)據(jù)包。Loose 方式：interface pos 1/0ip ver unicast source reachablevia any東華理工大學(xué)畢業(yè)設(shè)計（論文） 企業(yè)局域網(wǎng)的安全設(shè)計方案這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包，在路由器的路由表中若沒有該數(shù)據(jù)包源 IP 地址的路由，路由器將丟棄該數(shù)據(jù)包。/PP2 啟用 OSPF 路由協(xié)議的認(rèn)證。默認(rèn)的 OSPF 認(rèn)證密碼是明文傳輸?shù)?，建議啟用 MD5 認(rèn)證。并設(shè)置一定強(qiáng)度密鑰(key,相對的路由器必須有相同的 Key)。 c、RIP 協(xié)議的認(rèn)證。只有 RIPV2 支持，RIP1 不支持。建議啟用 RIPV2。并且采用 MD5 認(rèn)證。普通認(rèn)證同樣是明文傳輸?shù)摹?d、啟用 passiveinterface 命令可以禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口。建議對于不需要路由的端口，啟用 passiveinterface。但是，在 RIP 協(xié)議是只是禁止轉(zhuǎn)發(fā)路由信息，并沒有禁止接收。在 OSPF 協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由信息。 e、啟用訪問列表過濾一些垃圾和惡意路由信息,控制網(wǎng)絡(luò)的垃圾信息流。如：Router(Config) accesslist 10 deny Router(Config) accesslist 10 permit any ！禁止路由器接收更新 網(wǎng)絡(luò)的路由信息Router(Config) router ospf 100Router(Configrouter) distributelist 10 in！禁止路由器轉(zhuǎn)發(fā)傳播 網(wǎng)絡(luò)的路由信息Router(Config) router ospf 100Router(Configrouter) distributelist 10 out/PP(3) 路由器其他安全配置 a、IP 欺騙簡單防護(hù)。如過濾非公有地址訪問內(nèi)部網(wǎng)絡(luò)。過濾自己內(nèi)部網(wǎng)絡(luò)地址；回環(huán)地址()；RFC1918 私有地址；DHCP 自定義地址()；科學(xué)文檔作者測試用地址()；不用的組播地址()；SUN 公司的古老的測試地址(。)；全網(wǎng)絡(luò)地址()。Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any 東華理工大學(xué)畢業(yè)設(shè)計（論文） 企業(yè)局域網(wǎng)的安全設(shè)計方案Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 permit ip any anyRouter(Configif) ip accessgroup 100 in/PP b、采用訪問列表控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是屬于內(nèi)部網(wǎng)絡(luò)的。Router(Config) no accesslist 101Router(Config) accesslist 101 permit ip anyRouter(Config) accesslist 101 deny ip any any Router(Config) interface eth 0/1Router(Configif) description “inter Ether”Router(Configif) ip address Router(Configif) ip accessgroup 101 in/PP 防火墻技術(shù)安全配置 網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。(1) 防火墻的基本配置原則防火墻的配置過程中需堅持以下三個基本原則： a、簡單實用 b、全面深入 c、內(nèi)外兼顧 (2) 防火墻的基本配置 a、用一條防火墻自帶的串行電纜從筆記本電腦的 COM 口連到 Cisco PIX 525防火墻的 console 口； b、開啟所連電腦和防火墻的電源，進(jìn)入 Windows 系統(tǒng)自帶的超級終端，通訊參數(shù)可按系統(tǒng)默認(rèn)。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date(日期)、time(時間)、hostname(主機(jī)名稱)、inside ip address(內(nèi)部網(wǎng)卡 IP 地址)、domain(主域)等，完成后也就建立了一個初始化設(shè)置了。此時的提示符為：pix255。 c、修改此特權(quán)用戶模式密碼。 命令格式為：enable password **************** [encrypted]，這個密碼必須大于 16 位。Encrypted 選項是確定所加密碼是否需要加密。 d、激活以太端口東華理工大學(xué)畢業(yè)設(shè)計（論文） 企業(yè)局域網(wǎng)的安全設(shè)計方案必須用 enable 進(jìn)入，然后進(jìn)入 configure 模式PIX525enablePassword:PIX525config tPIX525(config)interface ether0 autoPIX525(config)interface ether1 auto在默認(rèn)情況下 ether0 是屬外部網(wǎng)卡 outside, ether1 是屬內(nèi)部網(wǎng)卡inside, inside 在初始化配置成功的情況下已經(jīng)被激活生效了，但是 outside 必須命令配置激活。 e、命名端口與安全級別采用命令 nameifPIX525(config)nameif ether0 outside security0PIX525(config)nameif ether0 outside security100security0 是外部端口 outside 的安全級別（0 安全級別最高）security100 是內(nèi)部端口 inside 的安全級別,如果中間還有以太口，則security10，security20 等等命名，多個網(wǎng)卡組成多個網(wǎng)絡(luò)，一般情況下增加一個以太口作為 DMZ(Demilitarized Zones 非武裝區(qū)域)。 f、配置以太端口 IP 地址采用命令為：ip address內(nèi)部網(wǎng)絡(luò)為： 外部網(wǎng)絡(luò)為： PIX525(config)ip address inside PIX525(config)ip address outside g、配置遠(yuǎn)程訪問[tel]在默認(rèn)情況下，PIX 的以太端口是不允許 tel 的，這一點(diǎn)與路由器有區(qū)別。Inside 端口可以做 tel 就能用了,但 outside 端口還跟一些安全配置有關(guān)。PIX525(config)tel insidePIX525(config)tel outside測試 tel在[開始][運(yùn)行]tel PIX passwd:輸入密碼：**************** h、訪問列表(accesslist)東華理工大學(xué)畢業(yè)設(shè)計（論文） 企業(yè)局域網(wǎng)的安全設(shè)計方案訪問列表也是 Firewall 的主要部分，有 permit 和 deny 兩個功能，網(wǎng)絡(luò)協(xié)議一般有 IP|TCP|UDP|ICMP 等等，允許訪問主機(jī): 的 ,端口為：80PIX525(config)accesslist 100 permit ip any host eq PIX525(config)accesslist 100 deny ip any anyPIX525(config)accessgroup 100 in interface outside i、地址轉(zhuǎn)換（NAT）和端口轉(zhuǎn)換(PAT)NAT 跟路由器基本是一樣的，首先必須定義 IP Pool，提供給內(nèi)部 IP 地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。PIX525(config)global (outside) 1 mask PIX525(config)nat (outside) 1 外部地址是很有限的，主機(jī)必須單獨(dú)占用一個 IP 地址，解決公用一個外部IP(),則必須配置 PAT，這樣就能解決更多用戶同時共享一個 IP,有點(diǎn)像代理服務(wù)器一樣的功能。配置如下：PIX525(config)global (outside) 1 mask PIX525(config