用路由器構(gòu)造Intranet防護(hù)體系

2019-11-05 00:42:34

字體：大中小

供稿：網(wǎng)友

　　防止網(wǎng)絡(luò)資源被非法入侵者破壞，考慮的首要因素就是如何禁止未授權(quán)的數(shù)據(jù)報(bào)流進(jìn)內(nèi)部Intranet。報(bào)文是網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)幕締挝唬诿總€(gè)報(bào)文中記錄著報(bào)文的源、目ip地址，源、目協(xié)議的端口號(hào)，若采用的是面向連接的傳輸協(xié)議（例如TCP協(xié)議），還有記錄發(fā)送方或接收方的MAC地址及順序號(hào)等其他控制信息。也正因?yàn)槿绱耍W(wǎng)上黑客經(jīng)常截獲網(wǎng)上報(bào)文，分析其中數(shù)據(jù)使之成為攻擊網(wǎng)站或Intrant 資源的依據(jù)。目前大多數(shù)路由器都提供了一種基于報(bào)文過濾的訪問控制列表（ACL）和網(wǎng)絡(luò)地址隱藏技術(shù)，可以有效地控制數(shù)據(jù)報(bào)的流進(jìn)流出和防止IP地址的截取，本文就是基于報(bào)文格式介紹Intranet資源防護(hù)技術(shù)。
　　一、用訪問控制列表控制數(shù)據(jù)流的進(jìn)出
　　---- 基于報(bào)文過濾的訪問控制列表是用控制表中的規(guī)則同報(bào)文中的諸項(xiàng)進(jìn)行匹配，決定具有哪些IP地址的計(jì)算機(jī)及哪些服務(wù)請(qǐng)求可以進(jìn)入，不匹配的將被屏蔽在網(wǎng)絡(luò)之外。以如下網(wǎng)絡(luò)結(jié)構(gòu)為例說明。
　　

　　如讓176.68.16.9的計(jì)算機(jī)進(jìn)入Intranet，只讓188.68.0.0/16 網(wǎng)上的計(jì)算機(jī)訪問文件傳輸服務(wù)器FTP和web服務(wù)器3w，可在串口s0上做如下訪問控制列表。
　　
　　　　access－list 101 permit 176.68.16.9 0.0.0.0
　　Access－list 101 permit tcp 188.68.0.0 0.0.
　　255.255 192.68.1.1 0.0.0.0 eq 21
　　Access－list 101 permit tcp 188.68.0.0 0.0.
　　255.255 192.68.1.1 0.0.0.0 eq 20
　　Access－list 101 permit tcp 188.68.0.0 0.0.
　　255.255 192.68.1.2 0.0.0.0 eq 80
　　　　!
　　　　interface serial 0
　　　　ip access－group 101 in
　　!
　　----上101訪問控制列表中的第2、3條目是控制對(duì)ftps服務(wù)器的訪問，文件傳輸服務(wù)占用的端口號(hào)為20和21，其中20端口用來傳送數(shù)據(jù)，21端口傳送FTP命令。第4條目用來控制對(duì)3w的訪問，http服務(wù)占用的端口號(hào)為80，它們都是基于TCP協(xié)議的高層服務(wù)，除它們之外基于TCP協(xié)議服務(wù)還有telnet和snmp等，它們占用的端口號(hào)分別為23和25，如法炮制可以加入對(duì)遠(yuǎn)程登錄和網(wǎng)絡(luò)治理的訪問控制。
　　
　　二、保護(hù)Intranet內(nèi)部的IP地址
　　----如上所述，數(shù)據(jù)包中包含有源、目IP地址，一旦內(nèi)部 Intranet的IP地址被截獲，那么內(nèi)部網(wǎng)絡(luò)資源就被暴露，并可對(duì)其進(jìn)行攻擊，如發(fā)大量不被接受的數(shù)據(jù)包耗盡路由器資源而迫使線路終止等，因此有必要將內(nèi)部Intranet網(wǎng)絡(luò)的IP 地址隱藏和防止IP地址的盜用，可以采用如下兩種方法實(shí)現(xiàn)。
　　----1.利用路由器的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）實(shí)現(xiàn)內(nèi)部地址的隱藏
　　
　　----網(wǎng)絡(luò)地址轉(zhuǎn)換可以動(dòng)態(tài)改變通過路由器的IP報(bào)文的源IP 地址和（或）目IP地址，使離開和（或）進(jìn)入地址與原來不同。該功能可以隱藏內(nèi)部網(wǎng)絡(luò)的IP地址，并要求路由器執(zhí)行NAT，仍以上述網(wǎng)絡(luò)結(jié)構(gòu)加以說明。
　　
　　----若想使離開路由器s0的內(nèi)部地址都轉(zhuǎn)換到有效的IP地址 200.78.16.1～200.78.16.254，可進(jìn)行如下設(shè)置。
　　
　　Ip nat pool outtran 200.78.16.1 200.78.16.254
　　 netmask 255.255.255.0
　　　　Ip nat inside source list 1 pool outtran
　　　　!
　　　　interface serial 0
　　　　ip address 192.68.1.254 255.255.255.0
　　　　ip nat inside
　　　　!
　　----2.利用ARP防止盜用內(nèi)部IP地址
　　
　　---- 通過ARP可以固定地將IP地址綁定在某一MAC地址之上，MAC地址是機(jī)器的物理地址，該地址是網(wǎng)卡出廠時(shí)寫上的48位唯一的序列碼，可以唯一標(biāo)識(shí)網(wǎng)上物理設(shè)備。假如只讓ftp_server和www_server訪問網(wǎng)段2，又要防止 ftp_server和www_server的IP地址被冒名，可以進(jìn)行如下設(shè)置。
　　
　　　　Arp 192.68.1.1 0671.0232.0001 arpa
　　　　Arp 192.68.1.1 0671.0232.0002 arpa
　　　　!
　　　　access－list 99 permit 192.68.1.1
　　　　access－list 99 permit 192.68.1.1
　　　　deny any
　　　　!
　　　　interface Ethernet 0
　　　　ip address 76.68.16.254 255.255.255.0
　　　　ip access－group 99 in
　　　　!
　　----如上介紹的兩種用路由器保護(hù)內(nèi)部網(wǎng)絡(luò)的方法引用的是 Cisco路由器的IOS命令，不同路由設(shè)備的命令略有不同，可參照進(jìn)行設(shè)置。

上一篇：路由器的安全設(shè)計(jì)

下一篇：路由器能否取代防火墻？