Ⅰ 閫氳繃璺鐢卞櫒鐨勫熀紜璁劇疆浣跨綉緇滄洿鍔犲畨鍏
璺鐢卞櫒鏄灞鍩熺綉榪炴帴澶栭儴緗戠粶鐨勯噸瑕佹ˉ姊侊紝鏄緗戠粶緋葷粺涓涓嶅彲鎴栫己鐨勯噸瑕侀儴浠訛紝涔熸槸緗戠粶瀹夊叏鐨勫墠娌垮叧鍙c備絾鏄璺鐢卞櫒鐨勭淮鎶ゅ嵈寰堝皯琚澶у舵墍閲嶈嗐傝瘯鎯籌紝濡傛灉璺鐢卞櫒榪炶嚜韜鐨勫畨鍏ㄩ兘娌℃湁淇濋殰錛屾暣涓緗戠粶涔熷氨姣鏃犲畨鍏ㄥ彲璦銆傚洜姝ゅ湪緗戠粶瀹夊叏綆$悊涓婏紝蹇呴』瀵硅礬鐢卞櫒榪涜屽悎鐞嗚勫垝銆侀厤緗錛岄噰鍙栧繀瑕佺殑瀹夊叏淇濇姢鎺鏂斤紝閬垮厤鍥犺礬鐢卞櫒鑷韜鐨勫畨鍏ㄩ棶棰樿岀粰鏁翠釜緗戠粶緋葷粺甯︽潵婕忔礊鍜岄庨櫓銆傛垜浠涓嬮潰灝辯粰澶у朵粙緇嶄竴浜涜礬鐢卞櫒鍔犲己璺鐢卞櫒瀹夊叏鐨勬帾鏂藉拰鏂規硶錛岃╂垜浠鐨勭綉緇滄洿瀹夊叏銆
銆銆1. 涓鴻礬鐢卞櫒闂寸殑鍗忚浜ゆ崲澧炲姞璁よ瘉鍔熻兘錛屾彁楂樼綉緇滃畨鍏ㄦс
銆銆璺鐢卞櫒鐨勪竴涓閲嶈佸姛鑳芥槸璺鐢辯殑綆$悊鍜岀淮鎶わ紝鐩鍓嶅叿鏈変竴瀹氳勬ā鐨勭綉緇滈兘閲囩敤鍔ㄦ佺殑璺鐢卞崗璁錛屽父鐢ㄧ殑鏈夛細RIP銆丒IGRP銆丱SPF銆両S-IS銆丅GP絳夈傚綋涓鍙拌劇疆浜嗙浉鍚岃礬鐢卞崗璁鍜岀浉鍚屽尯鍩熸爣紺虹︾殑璺鐢卞櫒鍔犲叆緗戠粶鍚庯紝浼氬︿範緗戠粶涓婄殑璺鐢變俊鎮琛ㄣ備絾姝ょ嶆柟娉曞彲鑳藉艱嚧緗戠粶鎷撴墤淇℃伅娉勬紡錛屼篃鍙鑳界敱浜庡悜緗戠粶鍙戦佽嚜宸辯殑璺鐢變俊鎮琛錛屾壈涔辯綉緇滀笂姝e父宸ヤ綔鐨勮礬鐢變俊鎮琛錛屼弗閲嶆椂鍙浠ヤ嬌鏁翠釜緗戠粶鐦鐥銆傝繖涓闂棰樼殑瑙e喅鍔炴硶鏄瀵圭綉緇滃唴鐨勮礬鐢卞櫒涔嬮棿鐩鎬簰浜ゆ祦鐨勮礬鐢變俊鎮榪涜岃よ瘉銆傚綋璺鐢卞櫒閰嶇疆浜嗚よ瘉鏂瑰紡錛屽氨浼氶壌鍒璺鐢變俊鎮鐨勬敹鍙戞柟銆
銆銆2. 璺鐢卞櫒鐨勭墿鐞嗗畨鍏ㄩ槻鑼冦
銆銆璺鐢卞櫒鎺у埗絝鍙f槸鍏鋒湁鐗規畩鏉冮檺鐨勭鍙o紝濡傛灉鏀誨嚮鑰呯墿鐞嗘帴瑙﹁礬鐢卞櫒鍚庯紝鏂鐢甸噸鍚錛屽疄鏂解滃瘑鐮佷慨澶嶆祦紼嬧濓紝榪涜岀櫥褰曡礬鐢卞櫒錛屽氨鍙浠ュ畬鍏ㄦ帶鍒惰礬鐢卞櫒銆
銆銆3. 淇濇姢璺鐢卞櫒鍙d護銆
銆銆鍦ㄥ囦喚鐨勮礬鐢卞櫒閰嶇疆鏂囦歡涓錛屽瘑鐮佸嵆浣挎槸鐢ㄥ姞瀵嗙殑褰㈠紡瀛樻斁錛屽瘑鐮佹槑鏂囦粛瀛樺湪琚鐮磋В鐨勫彲鑳姐備竴鏃﹀瘑鐮佹硠婕忥紝緗戠粶涔熷氨姣鏃犲畨鍏ㄥ彲璦銆
銆銆4. 闃繪㈠療鐪嬭礬鐢卞櫒璇婃柇淇℃伅銆
銆銆鍏抽棴鍛戒護濡備笅錛 no service tcp-small-servers no service udp-small-servers
銆銆5. 闃繪㈡煡鐪嬪埌璺鐢卞櫒褰撳墠鐨勭敤鎴峰垪琛ㄣ
銆銆鍏抽棴鍛戒護涓猴細no service finger.
銆銆6. 鍏抽棴CDP鏈嶅姟銆
銆銆鍦∣SI浜屽眰鍗忚鍗抽摼璺灞傜殑鍩虹涓婂彲鍙戠幇瀵圭璺鐢卞櫒鐨勯儴鍒嗛厤緗淇℃伅錛 璁懼囧鉤鍙般佹搷浣滅郴緇熺増鏈銆佺鍙c両P鍦板潃絳夐噸瑕佷俊鎮銆傚彲浠ョ敤鍛戒護錛 no cdp running鎴杗o cdp enable鍏抽棴榪欎釜鏈嶅姟銆
銆銆7. 闃繪㈣礬鐢卞櫒鎺ユ敹甯︽簮璺鐢辨爣璁扮殑鍖咃紝灝嗗甫鏈夋簮璺鐢遍夐」鐨勬暟鎹嫻佷涪寮冦
銆銆鈥淚P source-route鈥濇槸涓涓鍏ㄥ矓閰嶇疆鍛戒護錛屽厑璁歌礬鐢卞櫒澶勭悊甯︽簮璺鐢遍夐」鏍囪扮殑鏁版嵁嫻併傚惎鐢ㄦ簮璺鐢遍夐」鍚庯紝婧愯礬鐢變俊鎮鎸囧畾鐨勮礬鐢變嬌鏁版嵁嫻佽兘澶熻秺榪囬粯璁ょ殑璺鐢憋紝榪欑嶅寘灝卞彲鑳界粫榪囬槻鐏澧欍傚叧闂鍛戒護濡備笅錛 no ip source-route.
銆銆8. 鍏抽棴璺鐢卞櫒騫挎挱鍖呯殑杞鍙戙
銆銆Sumrf D.o.S鏀誨嚮浠ユ湁騫挎挱杞鍙戦厤緗鐨勮礬鐢卞櫒浣滀負鍙嶅皠鏉匡紝鍗犵敤緗戠粶璧勬簮錛岀敋鑷抽犳垚緗戠粶鐨勭槴鐥銆傚簲鍦ㄦ瘡涓絝鍙e簲鐢ㄢ渘o ip directed-broadcast鈥濆叧闂璺鐢卞櫒騫挎挱鍖呫
銆銆9. 綆$悊HTTP鏈嶅姟銆
銆銆HTTP鏈嶅姟鎻愪緵Web綆$悊鎺ュ彛銆傗渘o ip http server鈥濆彲浠ュ仠姝HTTP鏈嶅姟銆傚傛灉蹇呴』浣跨敤HTTP錛屼竴瀹氳佷嬌鐢ㄨ塊棶鍒楄〃鈥渋p http access-class鈥濆懡浠わ紝涓ユ牸榪囨護鍏佽哥殑IP鍦板潃錛屽悓鏃剁敤鈥渋p http authentication 鈥濆懡浠よ懼畾鎺堟潈闄愬埗銆
銆銆10. 鎶靛盡spoofing錛堟洪獥錛 綾繪敾鍑匯
銆銆浣跨敤璁塊棶鎺у埗鍒楄〃錛岃繃婊ゆ帀鎵鏈夌洰鏍囧湴鍧涓虹綉緇滃箍鎾鍦板潃鍜屽gО鏉ヨ嚜鍐呴儴緗戠粶錛屽疄闄呭嵈鏉ヨ嚜澶栭儴鐨勫寘銆 鍦ㄨ礬鐢卞櫒絝鍙i厤緗錛 ip access-group list in number 璁塊棶鎺у埗鍒楄〃濡備笅錛 access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 娉錛 涓婅堪鍥涜屽懡浠ゅ皢榪囨護BOOTP/DHCP 搴旂敤涓鐨勯儴鍒嗘暟鎹鍖咃紝鍦ㄧ被浼肩幆澧冧腑浣跨敤鏃惰佹湁鍏呭垎鐨勮よ瘑銆
銆銆11. 闃叉㈠寘鍡呮帰銆
銆銆榛戝㈢粡甯稿皢鍡呮帰杞浠跺畨瑁呭湪宸茬粡渚靛叆鐨勭綉緇滀笂鐨勮$畻鏈哄唴錛岀洃瑙嗙綉緇滄暟鎹嫻侊紝浠庤岀洍紿冨瘑鐮侊紝鍖呮嫭SNMP 閫氫俊瀵嗙爜錛屼篃鍖呮嫭璺鐢卞櫒鐨勭櫥褰曞拰鐗規潈瀵嗙爜錛岃繖鏍風綉緇滅$悊鍛橀毦浠ヤ繚璇佺綉緇滅殑瀹夊叏鎬с傚湪涓嶅彲淇′換鐨勭綉緇滀笂涓嶈佺敤闈炲姞瀵嗗崗璁鐧誨綍璺鐢卞櫒銆傚傛灉璺鐢卞櫒鏀鎸佸姞瀵嗗崗璁錛岃蜂嬌鐢⊿SH 鎴 Kerberized Telnet錛屾垨浣跨敤IPSec鍔犲瘑璺鐢卞櫒鎵鏈夌殑綆$悊嫻併
銆銆12.鏍¢獙鏁版嵁嫻佽礬寰勭殑鍚堟硶鎬с
銆銆浣跨敤RPF 錛坮everse path forwarding錛夊弽鐩歌礬寰勮漿鍙戱紝鐢變簬鏀誨嚮鑰呭湴鍧鏄榪濇硶鐨勶紝鎵浠ユ敾鍑誨寘琚涓㈠純錛屼粠鑰岃揪鍒版姷寰spoofing 鏀誨嚮鐨勭洰鐨勩俁PF鍙嶇浉璺寰勮漿鍙戠殑閰嶇疆鍛戒護涓猴細 ip verify unicast rpf. 娉ㄦ剰錛 棣栧厛瑕佹敮鎸 CEF錛圕isco Express Forwarding錛 蹇閫熻漿鍙戙
銆銆13. 闃叉SYN 鏀誨嚮銆
銆銆鐩鍓嶏紝涓浜涜礬鐢卞櫒鐨勮蔣浠跺鉤鍙板彲浠ュ紑鍚疶CP 鎷︽埅鍔熻兘錛岄槻姝SYN 鏀誨嚮錛屽伐浣滄ā寮忓垎鎷︽埅鍜岀洃瑙嗕袱縐嶏紝榛樿ゆ儏鍐墊槸鎷︽埅妯″紡銆傦紙鎷︽埅妯″紡錛 璺鐢卞櫒鍝嶅簲鍒拌揪鐨凷YN璇鋒眰錛屽苟涓斾唬鏇挎湇鍔″櫒鍙戦佷竴涓猄YN-ACK鎶ユ枃錛岀劧鍚庣瓑寰呭㈡埛鏈篈CK.濡傛灉鏀跺埌ACK錛屽啀灝嗗師鏉ョ殑SYN鎶ユ枃鍙戦佸埌鏈嶅姟鍣錛涚洃瑙嗘ā寮忥細璺鐢卞櫒鍏佽窼YN璇鋒眰鐩存帴鍒拌揪鏈嶅姟鍣錛屽傛灉榪欎釜浼氳瘽鍦30縐掑唴娌℃湁寤虹珛璧鋒潵錛岃礬鐢卞櫒灝變細鍙戦佷竴涓猂ST錛屼互娓呴櫎榪欎釜榪炴帴銆傦級棣栧厛錛岄厤緗璁塊棶鍒楄〃錛屼互澶囧紑鍚闇瑕佷繚鎶ょ殑IP鍦板潃錛 access list [1-199] [deny銆permit] tcp any destination destination-wildcard 鐒跺悗錛屽紑鍚疶CP鎷︽埅錛 Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
銆銆14. 浣跨敤瀹夊叏鐨凷NMP綆$悊鏂規堛
銆銆SNMP騫挎硾搴旂敤鍦ㄨ礬鐢卞櫒鐨勭洃鎺с侀厤緗鏂歸潰銆係NMP Version 1鍦ㄧ┛瓚婂叕緗戠殑綆$悊搴旂敤鏂歸潰錛屽畨鍏ㄦт綆錛屼笉閫傚悎浣跨敤銆傚埄鐢ㄨ塊棶鍒楄〃浠呬粎鍏佽告潵鑷鐗瑰畾宸ヤ綔絝欑殑SNMP璁塊棶閫氳繃榪欎竴鍔熻兘鍙浠ユ潵鎻愬崌SNMP鏈嶅姟鐨勫畨鍏ㄦц兘銆傞厤緗鍛戒護錛 snmp-server community xxxxx RW xx 錛泋x鏄璁塊棶鎺у埗鍒楄〃鍙 SNMP Version 2浣跨敤MD5鏁板瓧韜浠介壌鍒鏂瑰紡銆備笉鍚岀殑璺鐢卞櫒璁懼囬厤緗涓嶅悓鐨勬暟瀛楃懼悕瀵嗙爜錛岃繖鏄鎻愰珮鏁翠綋瀹夊叏鎬ц兘鐨勬湁鏁堟墜孌點
銆銆緇艱堪錛
銆銆璺鐢卞櫒浣滀負鏁翠釜緗戠粶鐨勫叧閿鎬ц懼囷紝瀹夊叏闂棰樻槸闇瑕佹垜浠鐗瑰埆閲嶈嗐傚綋鐒訛紝濡傛灉浠呬粎鏄闈犱笂闈㈢殑榪欎簺璁劇疆鏂規硶錛屾潵淇濇姢鎴戜滑鐨勭綉緇滄槸榪滆繙涓嶅熺殑錛岃繕闇瑕侀厤鍚堝叾浠栫殑璁懼囨潵涓璧峰仛濂藉畨鍏ㄩ槻鑼冩帾鏂斤紝灝嗘垜浠鐨勭綉緇滄墦閫犳垚涓轟竴涓瀹夊叏紼沖畾鐨勪俊鎮浜ゆ祦騫沖彴銆
Ⅱ 大神們 cisco1921路由器 怎樣設置專線上網。不會設,求具體步驟
路由器基本配置
在本企業網中採用的是CISCO3825的路由器,它通過自己的串列介面serial0/0使用DDN技術接入Internet。其作用主要是在Internet和企業網之間路由數據包。除了完成主要的路由任務外,利用訪問控制列表(Access Control List,ACL),路由器ZZrouter還可用來完成以自身為中心的流量控制和過濾功能並實現一定的安全功能。
其基本配置與接入層交換機的配置類似,配置命令如下:(需說明的是由普通用戶進入特權模式輸入命令enable,由特權模式進入全局配置模式輸入命令config t(全寫為configure terminal))
Router#configure terminal
Router(config)#hostname R1-out
R1-OUT(config)#enable secret cisco
R1-OUT(config)#no ip domain-lookup
R1-OUT(config)#logging synchronous
R1-OUT(config)#line con 0
R1-OUT(config-line)#exec-timeout 5 30
R1-OUT(config-line)#line vty 0 4
R1-OUT(config-line)#password cisco
R1-OUT(config-line)#login
R1-OUT(config-line)#exec-timeout 5 30
R1-OUT(config-line)#exit
主要是對介面FastEthernet0/0以及介面serial0/0的IP地址、子網掩碼的配置。配置命令如下:
R1-OUT(config)#interface fastethernet 0/0
R1-OUT(config-if)#ip address 192.168.1.254 255.255.255.0
R1-OUT(config-if)#no shutdown
R1-OUT(config-if)#interface serial 0/0
R1-OUT(config-if)#ip address 202.168.1.1
R1-OUT(config-if)#no shutdown
配置靜態路由
在R1-OUT路由器上需要定義兩個路由:到企業內部的靜態路由和到Internet上的預設路由。
R1-OUT(config)#ip route 0.0.0.0 0.0.0.0 202.168.1.1
到企業網內部的路由經過路由匯總後形成兩個路由條目如下所示:
R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.3
R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.4
配置NAT
由於目前IP地址資源非常稀缺,不可能給企業網內部的每台工作站都分配一個公有IP地址,為了解決所有工作站訪問Internet的需要,必須使用NAT(網路地址轉換)技術。
為了接入Internet,本企業網向當地的ISP申請了10個IP地址。202.168.1.1.-202.168.1.10,其中202.168.1.1分配給了serial0/0,202.168.1.2和202.168.1.3分配給兩個經理辦公室。其它就進行NAT轉換。
R1-OUT(config)#interface fastethernet 0/0
R1-OUT(config-if)#ip nat inside
R1-OUT(config-if)#interface serial 0/0
R1-OUT(config-if)#ip nat outside
R1-OUT(config)#ip access-list 1 permit 192.168.2.0 0.0.10.255(定義允許進行NAT轉換的工作站的IP地址范圍)
在路由器上配置訪問控制列表(ACL)
路由器是外網進入企業內網的第一道關卡,是網路防禦的前沿陣地。路由器上的訪問控制列表(ACL)是保護內網安全的有效手段。一個設計良好的訪問控制列表(ACL)不僅可以起到控制網路流量、流向的作用,還可以在不增加網路系統軟、硬體投資的情況下完成一般軟、硬體防火牆產品的功能。
由於路由器介於企業內網和外網之間,是外網與內網進行通信時的第一道屏障,所以即使在網路系統安裝了防火牆產品後,仍然有必要對路由器的訪問控制列表(ACL)進行縝密的設計,來對企業內網包括對防火牆本身實施保護。
屏蔽文件共享協議埠2049,遠程執行(rsh)埠512,遠程登錄(rlogin)埠513,遠程命令(rcmd) 埠514,遠程過程調用(sunrpc)埠111。命令如下:
R1-OUT(config)#access-list 101 deny udp any any ep snmp
R1-OUT(config)#access-list 101 deny udp any any ep snmptrap
R1-OUT(config)#access-list 101 deny tcp any any ep telnet
R1-OUT(config)#access-list 101 deny tcp any any range 512 514/屏蔽遠程執行(rsh)埠512和遠程命令(rcmd) 埠514
R1-OUT(config)#access-list 101 deny tcp any any eq 111/屏蔽遠程過程調用(sunrpc)埠111
R1-OUT(config)#access-list 101 deny udp any any eq 111/屏蔽遠程過程調用(sunrpc)埠111
R1-OUT(config)#access-list 101 deny tcp any any eq 2049/屏蔽文件共享協議埠2049
R1-OUT(config)#access-list 101 permit ip any any
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#ip access-group 101 in /acl埠應用
設置只允許來自伺服器的IP地址才能訪問並配置路由器
命令如下:
R1-OUT(config)#line vty 0 4
R1-OUT(config-line)#access-class 2 in/建立訪問控制列表2(ACL2)
R1-OUT(config-line)#exit
R1-OUT(config)#access-list 2 permit 192.168.10.0 0.0.0.255
為了支持無類別網路以及全零子網進行如下的配置:
R1-OUT(config)#ip classless
R1-OUT(config)#ip subnet-zero
配置路由器的封裝協議和身份認證
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#encapsulation ppp
Ppp提供了兩種可選的身份驗證方法:口令驗證協議PAP(Password Authentication protocol, PAP)和質詢握手驗證協議CHAP(Challenge Handshake Authentication Protocol, CHAP)。CHAP比PAP更安全,因為CHAP不在線路上發送明文密碼,而是發送經過摘要演算法加工過的隨機序列。
但CHAP對端系統要求很高,需要耗費較多的CPU資源,一般只用在對安全性要求很高的場合。而PAP雖然用戶名和密碼是以明文的形式發送的,但它對端系統要求不高,所以我們普遍採用這種身份驗證機制。
配置命令如下:
首先要建立本地口令資料庫
R1-OUT(config)#username remoteuser password zhangguoyou
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#ppp authentication pap
到此路由器的配置就基本上完成了。