思科網(wǎng)絡(luò)設(shè)備安全

1、本文檔描述了如何增強(qiáng)網(wǎng)絡(luò)中路由器的安全性，常見的使用方法和相應(yīng)的配置命令和配置例子。網(wǎng)絡(luò)安全關(guān)閉不必要的服務(wù)關(guān)閉所有路由器或交換機(jī)上的不必要的服務(wù)，如Finger、Bootp、Http等;CommandRouter(co nfig)# no ip finger#關(guān)閉fin ger服務(wù)Router(co nfig)#no ip bootp server#關(guān)閉bootp服務(wù)Router(co nfig)# no ip http server#關(guān)閉http服務(wù)Example：Router(co nfig)#no ip fingerRouter(co nfig)# no ip bootp server

2、Router(co nfig)# no ip http server設(shè)置加密特權(quán)密碼使用加密的特權(quán)密碼，注意密碼的選擇: 不要使用登錄名，不管以何種形式（如原樣或顛倒、大寫和重復(fù)等） 不要用名字的第一個(gè)、中間一個(gè)或最后一個(gè)字（不管是現(xiàn)用名還是曾用 名）不要用最親近的家人的名字（包括配偶、子女、父母和寵物）不要用其他任何容易得到的關(guān)于你的信息不要使用純數(shù)字或完全同一個(gè)字母組成的口令不要使用在英文字典中的單詞不要使用短于6位的口令不要將口令告訴任何人不要將口令電子郵件給任何人如果可能，應(yīng)該使用大小寫混合的字母使用包括非字母字符的口令使用容易記的口令，這樣就不必將它寫下來 使用不用看鍵盤就可以很快鍵

3、出的口令CommandRouter（co nfig）# en able secret <password>#設(shè)置加密的特權(quán)密碼Example：Router（co nfig）# en able secret $!ai nfO:#設(shè)置加密的特權(quán)密碼為$!ainfO:打開密碼標(biāo)記CommandRouter(co nfig)# service password-e ncrypti on#加密密碼，原先使用明文顯示的密碼將會以密文方式出現(xiàn)Example：Router(co nfig)# service password-e ncrypti on# 加密明文密碼Router# show run

4、ning-configline vty 0 4password ciscologgi ng synchronouslogi n!Router# conf tEn ter con figurati on comma nds， one per line. End with CNTL/Z.Router(c on fig)#service password-e ncrypti onRouter(co nfig)#AZRouter# show running-configline vty 0 4password 7 01100F175804login設(shè)置 NTP server為了保證全網(wǎng)網(wǎng)絡(luò)設(shè)備時(shí)鐘的同

5、步，必須在網(wǎng)絡(luò)設(shè)備上配置NTPCommandRouter(co nfig)#ntp server <n tp-server-address>#設(shè)置NTP <ntp-server-address>為時(shí)鐘服務(wù)器的IP地址Router(co nfig)#ntp update-cale ndar#將NTP取得的時(shí)鐘更新本地的日歷Example：Router(co nfig)# ntp server update-cale nda#設(shè)置NTP時(shí)鐘服務(wù)器IP地址為，路由器將使用NTP得到的時(shí)鐘作為本地時(shí)鐘, 同時(shí)更新本地的日歷。配置日志在所有的路由器或交換機(jī)上配置相應(yīng)的日志選項(xiàng)。C

6、ommandRouter(co nfig)#loggi ng buffered <memory-size>#將日志存于內(nèi)存中，存放日志的內(nèi)存大小由<memory-size>指定，單位為 byte。Router(c on fig)#loggi ng <syslog-host-ip-address># 將日志發(fā)送至U Syslog server 上, Syslog server 由 <syslog-host-ip-address> 指定。需要預(yù)先配置 Syslog serverExample：Router(co nfig)#loggi ng buff

7、ered 1024000#在內(nèi)存中使用1M的空間存放日志Router(config)#logging將日志發(fā)送到 IP 地址為的 Syslog server 上設(shè)置LOG和DEBU啲時(shí)間標(biāo)記為了方便排錯(cuò)和日志管理，需要將日志的DEBUGS信息做上時(shí)間標(biāo)志。使用 以下命令設(shè)置時(shí)間標(biāo)志。CommandRouter(co nfig)# service timestamps debug datetime msec localtime#使用本地時(shí)間(精確到毫秒)標(biāo)記 DEBUGI息Router(co nfig)# service timestamps log datetime msec localtim

8、e#使用本地時(shí)間(精確到毫秒)標(biāo)記日志信息Example：Router(co nfig)# service timestamps debug datetime msec localtimeRouter(co nfig)# service timestamps log datetime msec localtime配置Con sole、AUX和VTY登錄控制登錄一臺路由器可以通過 Con sole端口、AUX端 口和VTY遠(yuǎn)程方式，因此對 于這三種登錄方式的控制直接影響網(wǎng)絡(luò)設(shè)備的安全性。在三種登錄方式下需要設(shè)置認(rèn)證、和超時(shí)選項(xiàng)。建議認(rèn)證使用本地用戶名加密碼的方式增加安全性。CommandRout

9、er(config-line)#login local#設(shè)置登錄時(shí)采用本地的用戶數(shù)據(jù)Router(co nfig-li ne)#exec-timeout vminu tes secs#設(shè)置超時(shí)時(shí)間，minutes表示分， secs表示秒，超時(shí)時(shí)間為兩者之和Example：Router(co nfig)#Router(co nfig-li ne)#Router(co nfig-li ne)#Router(co nfig-li ne)#Router(co nfig-li ne)#line con 0exec-timeout 120 0logi n localline aux 0exec-timeo

10、ut 120 0Router(co nfig-li ne)#Router(co nfig-li ne)#Router(co nfig-li ne)#Router(co nfig-li ne)#logi n localline vty 0 4exec-timeout 120 0logi n local限制遠(yuǎn)程登錄的范圍缺省情況下，從任何地方都可以登錄網(wǎng)絡(luò)設(shè)備。為了增加網(wǎng)絡(luò)設(shè)備的安全性, 需要對遠(yuǎn)程登錄的范圍進(jìn)行限制。通常使用訪問控制列表(access-list )限制登錄主機(jī)的源地址，只有具有 符合條件的主機(jī)能夠登錄到該網(wǎng)絡(luò)設(shè)備上。配置分為兩步：1 定義訪問控制列表(access-list )2

11、.應(yīng)用訪問控制列表(access-list )CommandRouter(c on fig)#access-listaccess-list -nu mberde ny |permit source source-wildcard log #設(shè)置標(biāo)準(zhǔn)的訪問控制列表，其中access-list -nu mber為 1-99Router(c on fig)#access-listaccess-list- nu mberdynamicdynamic-name timeoutminutes deny | permit protocolsourcesource-wildcarddesti nati ond

12、est in ati on-wildcard precede nee precede neetos tos log #設(shè)置擴(kuò)展的訪問控制列表，其中access-list- nu mber為100-199Router(c on fig-l in e)#access-classaccess-list -nu mberin | out#將訪問控制列表應(yīng)用在相應(yīng)的 VTY中Example：Router(c on fig)#access-list 10 permit vty 0 4Router(c on fig-l ine)#access-class 10 in#設(shè)置只有IP地址在范圍的主機(jī)才能遠(yuǎn)程登錄

13、該路由器配置SNMPCommandrouter(co nfig)#s nm p-server com mun itystring view view-name ro | rwnumbei#設(shè)置SNM只讀或讀寫串，number為Access-list 號，限制可以通過SNM訪問該網(wǎng)絡(luò)設(shè)備的地址Example：router(co nfig)#snm p-server com mun ity crn etaia !nfO RW 10router(co nfig)#snm p-server com mun ity bjcrnet RO 10router(co nfig)#access-list 10

14、permitrouter(co nfig)#access-list 10 permit#設(shè)置snmp只讀和讀寫口令，并且只讓和兩臺主機(jī)可以通過 snmp采集路由器數(shù) 據(jù)配置特權(quán)等級缺省情況下，Cisco路由器有兩種控制模式：用戶模式和特權(quán)模式。用戶模 式只有Show的權(quán)限和其他一些基本命令；特權(quán)模式擁有所有的權(quán)限，包括修改、 刪除配置。在實(shí)際情況下，如果給一個(gè)管理人員分配用戶模式權(quán)限， 可能不能滿足實(shí)際 操作需求，但是分配給特權(quán)模式則權(quán)限太大， 容易發(fā)生誤操作或密碼泄漏。使用 特權(quán)等級，可以定制多個(gè)等級特權(quán)模式，每一個(gè)模式擁有的命令可以按需定制。CommandRouter(config)#en

15、able secret level level encryption-type password#設(shè)置想應(yīng)級別的特權(quán)密碼，level指定特權(quán)級別：0-15Router(c on fig)#usernameuser name privilege level password password#設(shè)置管理人員的登錄用戶名、密碼和相應(yīng)的特權(quán)等級Router(c on fig)#privilegemodelevel level comma nd#設(shè)置相應(yīng)特權(quán)等級下的能夠使用的命令，注意：一旦一條命令被賦予一個(gè)特權(quán)等級，比該特權(quán)等級低的其他特權(quán)等級均不能使用該命令。Example：Router(co nf

16、ig)# en able secret level 5 csico5Router(co nfig)#en able secret level 10 cisco10#設(shè)置5級和10級的特權(quán)密碼Router(co nfig)#user name user5 privilege 10 password password5Router(co nfig)#user name user10 privilege 10 password password10#設(shè)置登錄名為user5的用戶，其特權(quán)等級為5、密碼為password5#設(shè)置登錄名為user10的用戶，其特權(quán)等級為10、密碼為password

17、4;Router(co nfig)#privilege exec level 5 show ip routeRouter(co nfig)#privilege exec level 5 show ipRouter(co nfig)#privilege exec level 5 showRouter(co nfig)#privilege exec level 10 debug ppp chapRouter(co nfig)#privilege exec level 10 debug ppp errorRouter(co nfig)#privilege exec level 10 debug pp

18、p n egotiatio nRouter(co nfig)#privilege exec level 10 debug pppRouter(co nfig)#privilege exec level 10 debugRouter(co nfig)#privilege exec level 10 clear ip route *Router(co nfig)#privilege exec level 10 clear ip routeRouter(co nfig)#privilege exec level 10 clear ipRouter(co nfig)#privilege exec le

19、vel 10 clear#設(shè)置5級和10級特權(quán)等級下能夠使用的命令路由安全路由協(xié)議的安全在OSPF配置中不是必須要和對端路有器建立臨接關(guān)系的端口，不把端口放 在OSPF的network廣播。在廣播網(wǎng)段最好使用OSPF的端口認(rèn)證防止其它非法的 路由器獲得路由表。Router(c on fig)#ip ospf authe nticati on-keypasswordBGP在作EBGP Pee時(shí)如有可能，可以采用 BGP的鄰居認(rèn)證。Router(router-c on fig)# neighborip-address | peer-group-n ame password stri ng過濾私有地

20、址路由CRNE二期骨干網(wǎng)均采用合法的IP地址。為防止私有IP進(jìn)入CRNE骨干網(wǎng)， 將在CRNET勺各個(gè)出口 /入口過濾私有地址。因?yàn)镃RNE的用戶路由均由BGP承載，故過濾私有地址路由的過濾將在 EBGP 中做入口限制。Router(router-c on fig)# neighbor ip-address | peer-group-n ame route-map map-namenaccess-list 10 permit 10 permit 10 permitroute-map deny 10match ip address 10route-map route-map permit 20主

21、機(jī)安全CRNE二期將利用一期利舊的兩臺 PIX為主機(jī)（DNSServer、Mail Server、 認(rèn)證服務(wù)器、計(jì)費(fèi)服務(wù)器等）提供安全保證。防火墻是一種用于保護(hù)特別敏感區(qū)域的有效工具，通過它可以實(shí)現(xiàn)多種復(fù) 雜的安全策略，對可疑的數(shù)據(jù)和請求進(jìn)行審核和過濾，從而保證內(nèi)部網(wǎng)絡(luò)的安全。另外由于防火墻本身需要對數(shù)據(jù)包進(jìn)行深層次的檢查和處理，因此在一些 數(shù)據(jù)流量特別大的地方不太適用，通常的用法是用來保護(hù)諸如計(jì)費(fèi)等特別敏感的 主機(jī)和應(yīng)用。PIX的工作原理PIX防火墻要求有一個(gè)路由器連接到外部網(wǎng)絡(luò)，如下圖所示。PIX有兩個(gè)ETHERNE接口，一個(gè)用于連接內(nèi)部局域網(wǎng)，另一個(gè)用于連接外部路由器。外部 接口有一組外

22、部地址，使用他們來與外部網(wǎng)絡(luò)通信。內(nèi)部網(wǎng)絡(luò)則配置有一個(gè)適合 內(nèi)部網(wǎng)絡(luò)號方案的IP地址。PIX的主要工作是在內(nèi)部計(jì)算機(jī)需要與外部網(wǎng)絡(luò)進(jìn) 行通信時(shí)，完成內(nèi)部和外部地址之間的映射。In ternetRouter BPIXRouter A配置好PIX防火墻后，從外部世界看來，內(nèi)部計(jì)算機(jī)好象就是直接連接到PIX的外部接口似的。由于 PIX的外部接口是Ethernet接口，所以，向主機(jī)傳 送信息包需要用到MAC地址。為了使內(nèi)部主機(jī)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上看起來都 好象是連接在外部接口上的，PIX運(yùn)行了代理ARP代理ARP給外部網(wǎng)絡(luò)層IP 地址指定數(shù)據(jù)鏈路MAC地址，這就使得內(nèi)部計(jì)算機(jī)看起來像是在數(shù)據(jù)鏈路層協(xié)

23、議 的外部接口上似的。大多數(shù)情況下，與外部網(wǎng)絡(luò)的通信是從內(nèi)部網(wǎng)絡(luò)中發(fā)出的。由于PIX是對信息包進(jìn)行操作，而不是在應(yīng)用過程級(代理服務(wù)器則采用這種方 法)，PIX既可以跟蹤UDP會話，也可以跟蹤TCP連接。當(dāng)一個(gè)計(jì)算機(jī)希望同外 部計(jì)算機(jī)進(jìn)行通信時(shí)，PIX記錄下內(nèi)部來源地址，然后從外部地址庫分配一個(gè)地 址，并記錄下所進(jìn)行的轉(zhuǎn)換。這就是人們常說的有界NAT( stateful NAT )，這樣，PIX就能記住它在同誰進(jìn)行交談，以及是哪個(gè)計(jì)算機(jī)首先發(fā)起的對話。只有 已被確認(rèn)的來自外部網(wǎng)絡(luò)的信息包才會運(yùn)行，并進(jìn)入內(nèi)部網(wǎng)絡(luò)。不過，有時(shí)也需要允許外部計(jì)算機(jī)發(fā)起同指定的內(nèi)部計(jì)算機(jī)的通信。典型的 服務(wù)包括電子郵

24、件、 WW服務(wù)、以及FTP服務(wù)。PIX給一個(gè)內(nèi)部地址硬編碼一個(gè) 外部地址，這個(gè)地址是不會過期的。在這種情況下，用到對目標(biāo)地址和端口號的 普通過濾。除非侵入PIX本身，外部用戶仍然是無法了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的。 在不 了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的情況下，惡意用戶就無法從內(nèi)部主機(jī)向內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊。PIX另一個(gè)關(guān)鍵性的安全特性是對 TCP信息包的序列編號進(jìn)行隨機(jī)化處理。 由于IP地址電子欺騙的方法早已公布，所以，入侵者已經(jīng)有可能通過這種方法， 控制住一個(gè)現(xiàn)成的TCP連接，然后向內(nèi)部局域網(wǎng)上的計(jì)算機(jī)發(fā)送它們自己的信 息。要想做到這一點(diǎn)，入侵者必須猜出正確的序列編號。在通常的TCP/IP中實(shí)現(xiàn)是很容易的，因?yàn)槊看纬?/p>

25、始化連接時(shí)，大都采用一個(gè)相同的編號來啟動(dòng)會話。 而PIX則使用了一種數(shù)學(xué)算法來隨機(jī)化產(chǎn)生序列編號，這實(shí)際上使得攻擊者已經(jīng) 不可能猜出連接所使用的序列編號了。PIX配置配置PIX防火墻是一個(gè)比較直接的工作，在提供相同級別的安全服務(wù)情況 下，PIX的配置相比設(shè)置代理服務(wù)器要簡單的多。從理論上講，所需做的就是指 定一個(gè)IP地址和一個(gè)用來對外部進(jìn)行訪問的地址庫，一個(gè)針對內(nèi)部連接的IP地址和網(wǎng)絡(luò)掩嗎、RIP、超時(shí)以及其他附屬安全信息。下面介紹一個(gè)PIX防火墻實(shí)際配置案例，供大家參考。因?yàn)槁酚善鞯呐渲迷诎踩苑矫婧?PIX防火墻是相 輔相成的，所以路由器的配置實(shí)例也一并列出。1. PIX防火墻ip add

26、ress outside路由器RTRA- RTRA是外部防護(hù)路由器，它必須保護(hù)PIX防火墻免受直接攻擊，保護(hù)FTP/HTTP服務(wù)器，同時(shí)作為一個(gè)警報(bào)系統(tǒng)，如果有人攻入此路由器，管理可以 立即被通知。no service tcp small-servers路由器RTRBRTRB是內(nèi)部網(wǎng)防護(hù)路由器，它是你的防火墻的最后一道防線，是進(jìn)入 內(nèi)部網(wǎng)的入口logg ing trap debuggi ngloggi ng/記錄此路由器上的所有活動(dòng)到網(wǎng)管工作站上的日志服務(wù)器，包括配置的修改in terface Ether net 0ip addressno ip proxy-arpip access-grou

27、p 110 inaccess-list 110 permit udp host/允許通向網(wǎng)管工作站的系統(tǒng)日志信息access-list 110 deny ip any host log/禁止所有別的從PIX防火墻發(fā)來的信息包access-list permit tcp hosteq smtp/允許郵件主機(jī)和內(nèi)部郵件服務(wù)器的SMTP郵件連接access-list deny ip host/禁止別的來源與郵件服務(wù)器的流量access-list deny ip any/防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙access-list permit ip/允許所有別的來源于PIX防火墻和路由器RTRB間的流量li n

28、e vty 0 4logi npassword xxxxxxxxxxaccess-class 10 in/限制可以遠(yuǎn)程登錄到此路由器上的IP地址access-list 10 permit ip/只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器，當(dāng)你想從INTERNET#理此路由器時(shí)，應(yīng)對此存取控制列表進(jìn)行修改按以上設(shè)置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無法 在外部連接上找到可以連接的開放端口，也不可能判斷出內(nèi)部任何一臺主機(jī)的 IP地址，即使告訴了內(nèi)部主機(jī)的IP地址，要想直接對它們進(jìn)行 Ping和連接也 是不可能的。這樣就可以對整個(gè)內(nèi)部網(wǎng)進(jìn)行有效的保護(hù)，防止外部的非法攻擊。攻擊防護(hù)防止D

29、oS攻擊DoS攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在 也不斷發(fā)展和升級。CRNE二期骨干網(wǎng)也要考慮到DoS攻擊的存在，并做好相應(yīng) 的防范。從某種程度上可以說，DoS攻擊永遠(yuǎn)不會消失而且從技術(shù)上目前沒有非常根 本的解決辦法。DoS技術(shù)嚴(yán)格的說只是一種破壞網(wǎng)絡(luò)服務(wù)的技術(shù)方式，具體的實(shí)現(xiàn)多種多樣，但都有一個(gè)共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)失去及時(shí)接受處 理外界請求，或無法及時(shí)回應(yīng)外界請求。對于DoS攻擊，可以采用以下方法防范：1、使用 ip verfy uni cast reverse-path網(wǎng)絡(luò)接口命令這個(gè)功能檢查每一個(gè)經(jīng)過路由器的數(shù)據(jù)包。在路由器的CEF( Cis

30、coExpressForwarding )表該數(shù)據(jù) 包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒有該數(shù) 據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如：路由器接收到一個(gè)源IP地址為的數(shù)據(jù)包，如果CEF路由表中沒有為IP 地址提供任何路由(即反向數(shù)據(jù)包傳輸時(shí)所需的路由)，則路由器會丟棄它。單一地址反向傳輸路徑轉(zhuǎn)發(fā)(Uni cast Reverse Path Forwardi ng )在ISP （局端）實(shí)現(xiàn)阻止SMUR攻擊和 其它基于IP地址偽裝的攻擊。這能夠保護(hù) 網(wǎng)絡(luò)和客戶免受來自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。使用Unicast RPF需要打開路由器的"CEF swithing"或&qu

31、ot;CEF distributed switching"選項(xiàng)。不需要將輸入接口配置為CEF交換（switching ）。只要該路由器打開了 CEF功能，所有獨(dú)立的網(wǎng)絡(luò)接口 都可以配置為其它交換（switching ） 模式。RPF（反向傳輸路徑轉(zhuǎn)發(fā)）屬于在 一個(gè)網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。在路由器上打開 CEF功能是非常重要的，因?yàn)镽PF必須依靠CEFUnicast RPF包含在支持CEF的Cisco IOS及以上版本中，但不支持Cisco IOS或版本。2、使用訪問控制列表（ACL過濾RFC 1918中列出的所有地址參考以下例子：in terfac

32、e xyip access-group 101 inaccess-list 101 deny ip anyaccess-list 101 deny ip anyaccess-list 101 deny ip anyaccess-list 101 permit ip any any3、參照RFC 2267,使用訪問控制列表（ACL過濾進(jìn)出報(bào)文 參考以下例子：ISP中心 -ISP 端邊界路由器-客戶端邊界路由器-客戶端網(wǎng)絡(luò)ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信。以下是ISP端邊界路由器的訪問控制列表（ACL例子：access-

33、list 190 permit ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any access-list 190 deny ip any any login terface 內(nèi)部網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口號ip access-group 190 in以下是客 戶端邊界路由器的ACL例子：access-list 187 deny ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any access-list 187 permit ip any anyaccess-list 188 permit ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any access-list 188 deny ip any anyin terface 外部網(wǎng)

34、絡(luò)接口 網(wǎng)絡(luò)接口號ip access-group 187 inip access-group 188 out如果打開了 CEF功能，通過使用單一地址反向路徑轉(zhuǎn)發(fā)（Uni cast RPF，能 夠充分地縮短訪問控制列表（ACL的長度以提高路由器性能。為了支持Uni cast RPF只需在路由器完全打開 CEF打開這個(gè)功能的網(wǎng)絡(luò)接口并不需要是 CEF交 換接口。4、使用CAR（ Control Access Rate）限制ICMP數(shù)據(jù)包流量速率參考以下例子:in terface xyrate-limit output access-group 20203000000512000786000 con

35、 form-act iontran smit exceed-act ion dropaccess-list 2020 permit icmp any any echo-reply5、設(shè)置SYN數(shù)據(jù)包流量速率in terface intrate-limit output access-group 153 100000 100000 co nform-actio ntran smit exceed-act ion droprate-limit output access-group 1521000000100000100000con form-act iontran smit exceed-act

36、 ion dropaccess-list 152 permit tcp any host eq wwwaccess-list 153 permit tcp any host eq www established在實(shí)現(xiàn)應(yīng)用中需要進(jìn)行必要的修改，替換：為最大連接帶寬1000000為SYN flood流量速率的30雅U 50沱間的數(shù)值。burst normal（正常突變）和 burst max （最大突變）兩個(gè)速率為正確的數(shù)值。注意，如果突變速率設(shè)置超過30%可能會丟失許多合法的SYN數(shù)據(jù)包。使用"show in terfaces rate-limit"命令查看該網(wǎng)絡(luò)接口的正常和

37、過度速率，能夠幫助確定合適的突變速率。這個(gè)SYNS率限制數(shù)值設(shè)置標(biāo)準(zhǔn)是保證正常 通信的基礎(chǔ)上盡可能地小。警告：一般推薦在網(wǎng)絡(luò)正常工作時(shí)測量 SYN數(shù)據(jù)包流量速率，以此基準(zhǔn)數(shù)值 加以調(diào)整。必須在進(jìn)行測量時(shí)確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)較大誤差。另外，建議考慮在可能成為 SYN攻擊的主機(jī)上安裝IP Filter 等IP過濾工 具包。6、搜集證據(jù)并聯(lián)系網(wǎng)絡(luò)安全部門或機(jī)構(gòu)如果可能，捕獲攻擊數(shù)據(jù)包用于分析。建議使用SUNX作站或Linux等高速 計(jì)算機(jī)捕獲數(shù)據(jù)包。常用的數(shù)據(jù)包捕獲工具包括TCPDum和snoop等。基本語法 為：tcpdump -i in terface -s 1500 -w captur

38、e_filesnoop -d in terface -o capture_file -s 1500本例中假定MTl大小為1500。如果MTU大于1500,則需要修改相應(yīng)參數(shù) 將這些捕獲的數(shù)據(jù)包和日志作為證據(jù)提供給有關(guān)網(wǎng)絡(luò)安全部門或機(jī)構(gòu)。紀(jì)錄、追蹤攻擊對于已知IP地址的攻擊，可以采用access-list 過濾，并紀(jì)錄攻擊的情況參考以下命令：access-listaccess-list -nu mberde ny | permit source source-wildcard logaccess-listaccess-list-numberdeny | permit protocol sourc

39、esource-wildcard desti nati on dest in ati on-wildcard precede nee precede neetos tos log通過show access-list可以察看符合該access-list的數(shù)據(jù)包的數(shù)量。第六章網(wǎng)絡(luò)安全I(xiàn)SP運(yùn)營商今天面臨著有關(guān)安全方面的多種威脅，這些威脅有的可能是隨機(jī) 的，也有可能是惡意的，但其后果都一樣的：妨礙用戶及ISP運(yùn)營商的正常運(yùn)行。從系統(tǒng)角度來看，網(wǎng)絡(luò)安全不是一個(gè)簡單的產(chǎn)品問題，網(wǎng)絡(luò)安全首先是個(gè)系統(tǒng)問題。互聯(lián)網(wǎng)安全手冊 RFC 2196 “Site Security Handbook ”是一個(gè)非常好 的范

40、例。從路由設(shè)備的安全方面考慮，我們建議廣東163省骨干網(wǎng)采取以下措施。廣域網(wǎng)安全策略實(shí)施在廣域網(wǎng)安全實(shí)施方案中，具體建議如下：1、采用了分層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，把骨干網(wǎng)與用戶網(wǎng)絡(luò)隔離開來。2、廣域網(wǎng)路由協(xié)議選用支持多路由接入的協(xié)議。3、各節(jié)點(diǎn)采用雙路由接入，實(shí)現(xiàn)傳輸線路冗余備份。4、對網(wǎng)絡(luò)連接設(shè)備實(shí)行口令管理，并通過網(wǎng)管服務(wù)器實(shí)時(shí)監(jiān)控其狀態(tài)。5、對域名服務(wù)器的操作系統(tǒng)進(jìn)行優(yōu)化，并建立本網(wǎng)絡(luò)的備份域名服務(wù)器， 以保證域名服務(wù)的可用性。6、全省網(wǎng)絡(luò)管理中心統(tǒng)一負(fù)責(zé)全網(wǎng)的路由管理、網(wǎng)絡(luò)連接設(shè)備的管理、全 網(wǎng)安全策略的管理。操作系統(tǒng)安全策略為提高操作系統(tǒng)的安全性，在實(shí)施中綜合采用以下策略：1、通過防火墻或路由器中的 ACL的設(shè)計(jì)，禁止本地?fù)芴栍脩艏癐n ternet用 戶對沒有必要開放的主機(jī)及端口的訪問。2、在主機(jī)上利用TCP WRA