眾所周知,通過(guò)在路由器或交換機(jī)上設(shè)置訪(fǎng)問(wèn)控制列表ACL ,可以在一定程度上起到提高安全,防范黑客與病毒攻擊的效果,對(duì)于使用思科路由器的用戶(hù)來(lái)說(shuō),了解一些關(guān)于Cisco路由器默認(rèn)設(shè)置的問(wèn)題還是有用的,,下面就由我們北大青鳥(niǎo)的網(wǎng)絡(luò)專(zhuān)家解析一下Cisco路由器默認(rèn)設(shè)置細(xì)節(jié)。
1.安全分析
有過(guò)路由器配置經(jīng)驗(yàn)的讀者應(yīng)該知道網(wǎng)絡(luò)管理員經(jīng)常通過(guò)在路由器或交換機(jī)上設(shè)置訪(fǎng)問(wèn)控制列表來(lái)完成防范病毒和黑客的作用。Cisco出品的路由器或交換機(jī)的訪(fǎng)問(wèn)控制列表都默認(rèn)在結(jié)尾添加了“DENY ANY ANY”語(yǔ)句,這句話(huà)的意思是將所有不符合訪(fǎng)問(wèn)控制列表(ACL)語(yǔ)句設(shè)定規(guī)則的數(shù)據(jù)包丟棄。那就是不符合ACL設(shè)定規(guī)則的數(shù)據(jù)包也將被路由器無(wú)條件轉(zhuǎn)發(fā)而不是Cisco公司采用的丟棄處理,這造成了該過(guò)濾的數(shù)據(jù)包沒(méi)有被過(guò)濾,網(wǎng)內(nèi)安全岌岌可危。非法數(shù)據(jù)包繞過(guò)了網(wǎng)絡(luò)管理員精心設(shè)置的防病毒“馬其諾防線(xiàn)”,從而輕而易舉的侵入了用戶(hù)的內(nèi)網(wǎng)。
2.解決措施
我們可以在ACL的最后添加上“DENY ANY ANY”語(yǔ)句或?qū)⒛J(rèn)的ACL結(jié)尾語(yǔ)句設(shè)置為DENY ANY ANY.頭一種方法僅僅對(duì)當(dāng)前設(shè)置的ACL生效,以后設(shè)置新ACL時(shí)路由器還是默認(rèn)容許所有數(shù)據(jù)包通過(guò);而第二種方法則將修改路由器的默認(rèn)值,將其修改成和CISCO設(shè)備一樣的默認(rèn)阻止所有數(shù)據(jù)包。
(1)ACL規(guī)則直接添加法
在華為設(shè)備上設(shè)置完所有ACL語(yǔ)句后再使用“rule deny ip source any destination any”將沒(méi)有符合規(guī)則的數(shù)據(jù)包實(shí)施丟棄處理。
(2)修改默認(rèn)設(shè)置法
在華為設(shè)備上使用“firewall default deny”,將默認(rèn)設(shè)置從容許轉(zhuǎn)發(fā)變?yōu)閬G棄數(shù)據(jù)包。從而一勞百逸的解決默認(rèn)漏洞問(wèn)題。因此筆者推薦大家使用第二種方法解決這個(gè)默認(rèn)設(shè)置的缺陷問(wèn)題。
3.Cisco路由器默認(rèn)設(shè)置總結(jié)
經(jīng)過(guò)這次“馬其諾”事件,北大青鳥(niǎo)網(wǎng)絡(luò)專(zhuān)家做出總結(jié):即使是相同的配置命令,如果廠(chǎng)商不同最好事先查閱一下用戶(hù)手冊(cè)(特別注意默認(rèn)設(shè)置),往往默認(rèn)設(shè)置會(huì)造成很多不明不白的故障。發(fā)現(xiàn)問(wèn)題以后也不要輕易懷疑設(shè)備硬件有問(wèn)題,應(yīng)該多從軟件及配置命令入手查找問(wèn)題所在。一個(gè)小小的默認(rèn)設(shè)置就將精心打造的防病毒體系完全突破,所以對(duì)于我們這些網(wǎng)絡(luò)管理員來(lái)說(shuō)每次設(shè)置后都應(yīng)該仔細(xì)測(cè)試下網(wǎng)絡(luò)狀況,確保所實(shí)施的手段得以生效。