日本中文字幕一区二区有码在线,国产在线观看乱码精品

您當(dāng)前所在位置：首頁(yè) → 網(wǎng)絡(luò)安全 → 安全防護(hù) → 巧設(shè)路由阻斷局域網(wǎng)病毒傳播路徑

巧設(shè)路由阻斷局域網(wǎng)病毒傳播路徑 時(shí)間：2015/6/28來(lái)源：IT貓撲網(wǎng)作者：網(wǎng)管聯(lián)盟我要評(píng)論(0): 　　下面以Cisco路由器為例，談?wù)勅绾瓮ㄟ^(guò)設(shè)置阻斷局域網(wǎng)病毒。

　　毫無(wú)疑問(wèn)，局域網(wǎng)是病毒木馬的"溫床"。某個(gè)客戶端中毒往往會(huì)殃及池魚(yú)感染其他客戶端，甚至影響到整個(gè)局域網(wǎng)。如果這樣，輕則吃掉帶寬，重則形成網(wǎng)絡(luò)故障甚至造成整個(gè)網(wǎng)絡(luò)癱瘓，所有這些讓網(wǎng)絡(luò)管理員們談毒色變。其實(shí)，在局域網(wǎng)的特殊節(jié)點(diǎn)上做好部署就能有效阻斷病毒傳播途徑，從而預(yù)防因病毒造成的災(zāi)難性后果。其中，路由器就是非常關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)。下面以Cisco路由器為例，談?wù)勅绾瓮ㄟ^(guò)設(shè)置阻斷局域網(wǎng)病毒。

　　1.阻斷原理

　　路由器作為網(wǎng)絡(luò)中的關(guān)鍵設(shè)備是否可以阻隔病毒的傳染呢?路由器作為內(nèi)部PC機(jī)的跨網(wǎng)段訪問(wèn)的通道，如果我們將這些端口限制掉，便可以防止病毒通過(guò)路由器從外網(wǎng)進(jìn)入同時(shí)也可以防止內(nèi)部的病毒通過(guò)路由器向外傳染病毒。
　　路由器作為NAT地址轉(zhuǎn)換接入到Internet，在路由器的太口都配置防火墻將危險(xiǎn)的目標(biāo)端口所有的報(bào)文都限制掉，這樣從Internet對(duì)內(nèi)部網(wǎng)發(fā)起的攻擊路由器將病毒攻擊報(bào)文阻隔掉無(wú)法進(jìn)入到內(nèi)部網(wǎng)來(lái)。
　　另外，如果內(nèi)部的PC已經(jīng)感染了病毒也無(wú)法通過(guò)路由器將病毒的攻擊報(bào)文傳到外部網(wǎng)去。需要注意的是：通過(guò)路由器阻止病毒傳播是建立在局域網(wǎng)子網(wǎng)劃分的基礎(chǔ)之上的。如果沒(méi)有細(xì)化的子網(wǎng)病毒傳染是無(wú)法阻隔的，因?yàn)橥粋€(gè)網(wǎng)段的PC的網(wǎng)絡(luò)傳輸是不通過(guò)路由器進(jìn)行報(bào)文轉(zhuǎn)發(fā)的。好在規(guī)模較大的局域網(wǎng)都劃分了子網(wǎng)，并且各子網(wǎng)直接通過(guò)路由器/交換機(jī)來(lái)隔離。

　　2.阻斷措施

　　(1)端口加固
　　要想路由器這座城墻固若金湯，密碼的設(shè)置當(dāng)然非常重要。一般情況下，網(wǎng)絡(luò)管理人員可以通過(guò)路由器的ConsoleAux和Ethernet口登錄到路由器，然后進(jìn)行配置。這種情況雖然方便了管理，但非法之徒也可以乘虛而入，所以給相應(yīng)的端口加上密碼是必須的常規(guī)配置方法。以Aux端口為例，命令如下：
　　Router#configure terminal
　　Enter configuration commands, one per line. End with CNTL/Z.
　　Router(config)#line aux 0
　　Router(config-line)#password test54ee
　　Router(config-line)#login
　　顯然，配置密碼時(shí)應(yīng)該加強(qiáng)密碼的混合度使非法入侵者不那么輕松破門而入進(jìn)行大肆攻擊路由器。不少管理員對(duì)超級(jí)用戶密碼進(jìn)行設(shè)置時(shí)使用配置命令enablepassword，這就埋下了一大安全隱患。鑒于此，推薦用戶使用enablesecret命令對(duì)密碼進(jìn)行加密，這種加密采用了MD5散列算法較前一配置更為安全。
　　Router(config)#enable secret test54ee

　　(2)過(guò)濾ICMP報(bào)文
　　惡性的ping是局域網(wǎng)病毒常常采用的攻擊方式。病毒隨機(jī)生成ping的目標(biāo)地址，然后通過(guò)路由器來(lái)進(jìn)行報(bào)文轉(zhuǎn)發(fā)，因此在路由器中就需要為每個(gè)ping的ICMP報(bào)文創(chuàng)建一條NAT的對(duì)應(yīng)表。如果管理員在特權(quán)用戶模式下查看該表時(shí)，若是用戶看到大量的ICMP的NAT的session就應(yīng)該警惕地想到是否已經(jīng)中招(即遭到拒絕服務(wù)攻擊)。
　　如果病毒惡性的發(fā)動(dòng)ICMP的ping攻擊，在幾秒鐘內(nèi)發(fā)出上萬(wàn)個(gè)ping報(bào)文則會(huì)在NAT表中占用了大量的NAT的Session的連接。而UDP的NAT的SESSlON的存在時(shí)間為5秒，TCP連接的NAT的SESSION的保存時(shí)間為24小時(shí)，這種惡性的ping攻擊便可能將NAT的SESSION的值全部占用。造成的后果是，正常的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文由于路由器的全部的NAT的SESSlON都被占用得不到NAT的服務(wù)會(huì)造成無(wú)法進(jìn)行正常的網(wǎng)絡(luò)通訊。因此，我們可以采用訪問(wèn)列表的方式將ICMP的報(bào)文過(guò)濾掉，保證正常的網(wǎng)絡(luò)服務(wù)。我們可以通過(guò)下面命令屏蔽來(lái)自外部和內(nèi)部的ICMP包。
　　Router(Config)#access-list 110 deny icmp any any echo log
　　Router(Config)#access-list 110 deny icmp any any redirect log
　　Router(Config)#access-list 110 deny icmp any anymask-requestlog
　　Router(Config)#access-list 110 permit icmp any any
　　Router(Config)#access-list 111 permit icmp any any echo
　　Router(Config)#access-list 111 permit icmp anyanymeter-problem
　　Router(Config)#access-list 111 permit icmp anyanypacket-too-big
　　Router(Config)#access-list 111 permit icmp anyanysource-quench
　　Router(Config)#access-list 111 deny icmp any any log

　　(3)端口過(guò)濾
　　在路由器的出口和入口創(chuàng)建訪問(wèn)列表來(lái)控制病毒的出入，這些訪問(wèn)控制列表都是基于端口(比如135、136、445、4444等)的。通常情況下，管理員可通過(guò)察看數(shù)據(jù)包的數(shù)目，以調(diào)整他們的順序，將轉(zhuǎn)換多的包放在前面可以提高速度。
　　Router(Config)#Access-list 110 deny tcp any any eq 135
　　Router(Config)#Access-list 110 deny udp any any eq 135
　　Router(Config)#Access-list 110 deny tcp any any eq 136
　　Router(Config)#Access-list 110 deny udp any any eq 136
　　Router(Config)#Access-list 110 deny tcp any any eq 445
　　Router(Config)#Access-list 110 deny udp any any eq 445
　　Router(Config)#Access-list 110 deny tcp any any eq 4444
　　Router(Config)#Access-list 110 deny udp any any eq 4444
　　按照上述方式，將列表應(yīng)用到相應(yīng)的端口即可以了。

關(guān)鍵詞標(biāo)簽：局域網(wǎng)病毒傳播

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>