夜鹰教程网-程序员的加油站
 当前位置:文章中心 >> Winform/客户端程序
使用Cisco IOS来阻止外向IP欺骗
夜鹰教程网 来源:www.yyjcw.com 日期:2016-11-29 14:57:24
以前,我们讨论了从入向Internet连接中将欺骗通信过滤掉的重要性但是,入向欺骗并不只是唯一的威胁。实际上,阻止出向欺骗也是同样的重要。 
以前,我们讨论了从入向Internet连接中将欺骗通信过滤掉的重要性但是,入向欺骗并不只是唯一的威胁。实际上,阻止出向欺骗也是同样的重要。

  这一次,让我们来看看如何保护系统免受来自其他方向的威胁——阻止欺骗性IP数据包,以及其他有害通讯从本地的网络发往Internet.你可不希望你的网络成为一个恶意活动的庇护所,对吧?

  还不错,在你公司的网络上,并没有发现任何有关的恶意活动。但是这不意味着它未来不会发生。下面是一些你希望阻止的常见恶意行为:

  ◆面向Internet的朝外IP欺骗数据

  ◆以单台电脑作为SMTP服务器,直接发往互联网的电子邮件

  ◆从公司内部发出的,以电子邮件或者其他端口作为传播手段的病毒或者蠕虫

  ◆对你的互联网路由器发动的黑客攻击

  阻止外向IP地址欺骗

  正如我在先前文章中提到的,有些指定的IP地址,公司应当避免将其用于在Internent上的通讯。

  10.0.0.0/8

  172.16.0.0/12

  192.168.0.0/16

  127.0.0.0/8

  224.0.0.0/3

  169.254.0.0/16

  240.0.0.0/4

  如果有通讯使用了上述IP地址的话,那么十有八九就是虚假的,并且是恶意的。所以你不仅要阻止来自互联网的,源地址属于上述这些IP地址范围内的通信,同时也要阻止这个范围内的IP通信发往互联网。

  要做到这一点,首先应当在路由器上建立一个出口ACL(存取权限控制列表)过滤器,并对通往互联网的接口应用该ACL.表格A提供了一个示例。

  它阻止了任何来自公司网络中,指定IP地址范围内的通信。正如我在关于内向IP欺骗文章中所提到的,要想保护网路免遭IP地址欺骗,另一个办法就是反向路径转发或者是IP校验。要想阻挡外向通讯,你将使用路由器的快速以太0/0接口,而不是串行接口。

  除了阻止来自公司网络中的欺骗性IP地址数据包之外,还有很多其他步骤你也应当采取,以防止恶意用户利用你的网络。

  禁止单台PC使用SMTP向互联网直接发送电子邮件

  你可不希望有人利用公司的网络发送垃圾信。要想阻止这个,你的防火墙应当不允许网上的电脑直接和互联网的任何端口直接通信。

  换句话说,你应当控制何种通讯可以直接从你的互联网连接上发送出去。假设你的公司有一台内部电子邮件服务器,所有的SMTP通讯都应当来自于这台内部服务器,而不是来自于其他任何一台内部网上的电脑。

  你可以通过让防火墙(起码也该使用ACL)仅允许指定目标端口发往Internet,从而保证我说刚才说到的这一点。举例来说,绝大多数公司仅需允许所有电脑使用互联网上的80端口,以及443端口。

  防止来自公司内部的病毒或者蠕虫向外传播

  通过控制局域网上客户端用于和互联网进行通讯的端口,你有很多方法可以阻止病毒和蠕虫的传播。但是,仅仅限制了端口还不够,因为恶意用户常常可以找到方法绕过端口限制。

  要想更深入的阻止病毒和蠕虫,可以考虑使用一些UTM设备,比如Cisco的ASA或者Fortinet.既然标称为“anti-X”设备,这两者都可以阻挡大量的安全威胁。

  阻止对你的互联网路由器的攻击

  要保护你的路由器,就要确保你已经在你的Cisco路由器上配置了SSH,设置了一个ACL,定义了你的管理控制台的源IP地址,并运行了 Cisco的SDM(安全设备管理器,Security Device Manager)安全审核功能,以确保你不会漏过任何一个常见的安全漏洞。

  要记住:保证你的网络免受来自互联网上攻击的确重要,但是阻止这些攻击者利用你的网络做坏事也是同样的重要。这四个方法可以让你在这一点上获得更多的保证。
复制链接 网友评论 收藏本文 关闭此页
上一条: 提升诺顿杀毒功能的5个小技巧  下一条: 认识IDS防范网络入侵行为
夜鹰教程网成立于2008年,目前已经运营了将近 13 年,发布了大量关于 html5/css3/C#/asp.net/java/python/nodejs/mongodb/sql server/android/javascript/mysql/mvc/easyui/vue/echarts原创教程。 我们一直都在坚持的是:认证负责、一丝不苟、以工匠的精神来打磨每一套教程,让读者感受到作者的用心。我们默默投入的时间,确保每一套教程都是一件作品,而不是呆板的文字和视频! 目前我们推出在线辅导班试运营,模式为一对一辅导,教学工具为QQ。我们的辅导学科包括 java 、android原生开发、webapp开发、商城开发、C#和asp.net开发,winform和物联网开发、web前端开发,但不仅限于此。 普通班针对的是国内学员,例如想打好基础的大学生、想转行的有志青年、想深入学习的程序员、想开发软件的初学者或者业余爱好者等。 就业办针对即将毕业上岗的大四学生,或者打算转行的初级开发工程师。 留学生班针对的是在欧美、加拿大、澳洲、日本、韩国、新加坡等地留学的中国学子,目的是让大家熟练地掌握编程技能,按时完成老师布置的作业,并能顺利地通过考试。 详细咨询QQ:1416759661   夜鹰教程网  基于角色的权限管理系统(c-s/b-s)。
  夜鹰教程网  基于nodejs的聊天室开发视频教程
  夜鹰教程网  Git分布式版本管理视频教程
  夜鹰教程网  MVC+EasyUI视频教程
  夜鹰教程网  在线考试系统视频教程
  夜鹰教程网  MongoDB视频教程。
  夜鹰教程网 Canvas视频教程
  夜鹰教程网 报表开发视频教程
  热点推荐
破解封路由的方法详解
技巧篇:只用这一招就能拒绝全部的…
挂马方法和技巧大汇总
网络安全防护:如何防止远程入侵
如何解决:系统开机就弹出广告网页…
彻底防御U盘病毒
安全配置交换机端口提高网络安全性…
浅析网络安全审计原理和技术(2)
用U盘就可以去除win XP管理员密码…
电脑硬盘各逻辑盘用鼠标左键双击它…
详解网站挂马的手段
新手认识;网银账号相关知识
ARP欺骗和ICMP欺骗催生全新DOS工具…
浅析网络安全审计原理和技术(1)
木马最基本的隐藏:不可见窗体和隐…
  最近更新
.NET C# 和Java开发人员岗位切换
模拟登录人人网
HttpWebRequest以及HttpWebRespon…
HttpClient使用说明
Winform为Combobox树添加数据
C#之允许DataGridView选中整行
C#中DataGridView只能选择一行禁止…
为自动填充列调整大小期间不能执行…
c# winform设置listBox如何设置te…
c#的委托(代理)和事件
C# Task 任务计划
C# socket 多线程多管道可断点传送…
让ListBox的滚动条滚动到最底部
c#用事件模式实现通知
什么是异步编程,为什么会需要异…

关于我们 | 网站建设 | 技术辅导 | 常见问题 | 联系我们 | 友情链接

夜鹰教程网 版权所有 www.yyjcw.com All rights reserved 备案号:蜀ICP备08011740号3