一、 網絡結構及安全脆弱性

為了使設備配置簡單或易于用戶使用，Router或Switch初始狀態并沒有配置安全措施，所以網絡具有許多安全脆弱性，因此網絡中常面臨如下威脅：

1. DDOS攻擊

2. 非法授權訪問攻擊。

口令過于簡單，口令長期不變，口令明文創送，缺乏強認證機制。

3．ip地址欺騙攻擊

….

利用Cisco Router和Switch可以有效防止上述攻擊。

二、保護路由器

2.1 防止來自其它各省、市用戶Ddos攻擊

最大的威脅：Ddos, hacker控制其他主機，共同向Router訪問提供的某種服務，導致Router利用率升高。

Ddos是最輕易實施的攻擊手段，不要求黑客有高深的網絡知識就可以做到。

如SMURF DDOS 攻擊就是用最簡單的命令ping做到的。利用IP 地址欺騙，結合ping就可以實現DDOS攻擊。

防范措施：

應關閉某些缺省狀態下開啟的服務，以節省內存并防止安全破壞行為/攻擊

Router(config-t)#no service finger

Router(config-t)#no service pad

Router(config-t)#no service udp-small-servers

Router(config-t)#no service tcp-small-servers

Router(config-t)#no ip http server

Router(config-t)#no service FTP

Router(config-t)#no ip bootp server

以上均已經配置。

防止ICMP-flooging攻擊

Router(config-t)#int e0

Router(config-if)#no ip redirects

Router(config-if)#no ip directed-broadcast

Router(config-if)#no ip PRoxy-arp

Router(config-t)#int s0

Router(config-if)#no ip redirects

Router(config-if)#no ip directed-broadcast

Router(config-if)#no ip proxy-arp

以上均已經配置。

除非在非凡要求情況下，應關閉源路由:

Router(config-t)#no ip source-route

以上均已經配置。

禁止用CDP發現鄰近的cisco設備、型號和軟件版本

Router(config-t)#no cdp run

Router(config-t)#int s0

Router(config-if)#no cdp enable

假如使用works2000網管軟件，則不需要此項操作

此項未配置。

使用CEF轉發算法，防止小包利用fast cache轉發算法帶來的Router內存耗盡、CPU利用率升高。

Router(config-t)#ip cef

2.2 防止非法授權訪問

通過單向算法對 “enable secret”密碼進行加密

Router(config-t)#enable secret 

Router(config-t)#no enable passWord

Router(config-t)#service password-encryption

?vty端口的缺省空閑超時為10分0秒

Router(config-t)#line vty 0 4

Router(config-line)#exec-timeout 10 0

如只答應130.9.1.130 Host 能夠用Telnet訪問.

access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log

line vty 0 4

access-class 101 in

exec-timeout 5 0

2.3 使用基于用戶名和口令的強認證方法 Router(config-t)#username admin pass 5 434535e2

Router(config-t)#aaa new-model

Router(config-t)#radius-server host 130.1.1.1 key key-string

Router(config-t)#aaa authentication login neteng group radius local

Router(config-t)#line vty 0 4

Router(config-line)#login authen neteng

三、保護網絡

3.1防止IP地址欺騙

黑客經常冒充地稅局內部網IP地址，獲得一定的訪問權限。

在省地稅局和各地市的WAN Router上配置：

防止IP地址欺騙--使用基于unicast RPF(逆向路徑轉發)

包發送到某個接口，檢查包的IP地址是否與CEF表中到達此IP地址的最佳路由是從此接口轉發，若是，轉發，否則，丟棄。

Router(config-t)#ip cef

Router(config-t)#interface e0

Router(config-if)# ip verify unicast reverse-path 101

Router(config-t)#access-list 101 permit ip any any log

注重：通過log日志可以看到內部網絡中哪些用戶試圖進行IP地址欺騙。

此項已配置。

防止IP地址欺騙配置訪問列表

防止外部進行對內部進行IP地址

Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any

Router(config-t)#access-list 190 permit ip any any

Router(config-t)#int s4/1/1.1

Router(config-if)# ip access-group 190 in

防止內部對外部進行IP地址欺騙

Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any

Router(config-t)#int f4/1/0

Router(config-if)# ip access-group 199 in

四、保護服務器

對于地稅局內部的某些Server,假如它不向各地提供服務可以在總局核心Cisco Router上配置空路由。

ip route 130.1.1.1 255.255.255.255.0 null

在WAN Router上配置CBAC,cisco狀態防火墻，防止Sync Flood攻擊

hr(config)#int s0/0

hr(config-if)#ip access-group 100 in

hr(config)#int f0/0

hr(config-if)#ip inspect insp1 in

hr(config)#ip inspect audit-trial

hr(config)#ip inspect name insp1 tcp

hr(config)#ip inspect max-incomplete high 350

hr(config)#ip inspect max-incomplete low 240

hr(config)#ip audit

hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80

在WAN Router 上配置IDS入侵檢測系統

hr(config)#ip audit name audit1 info action alarm

hr(config)#ip audit name audit1 attack action alarm drop

reset

hr(config)#ip audit audit1 notify log

hr(config)#int s0/0

hr(config)#ip audit audit1 in

五、網絡運行監視

配置syslog server,將日志信息發送到syslog server上

Syslog Server紀錄Router的平時運行產生的一些事件，如廣域口的up, down

, OSPF Neighbour的建立或斷開等，它對統計Router的運行狀態、流量的一些狀態，電信鏈路的穩定有非常重要的意義，用以指導對網絡的改進。

Router(config-t)#logg on

Router(config-t)#logg 172.5.5.5

Router(config-t)#logg facility local6

（責任編輯：zhaohb）