利用思科的IOS去防止出网的IP欺骗

今天，我们看一下如何从另外一个方向保护您的组织－如何防止欺骗性的IP数据包和其它有害的通信从您的网络流传到互联网上。毕竟，我们大家都不想让自己的网络成为恶意活动的避难所，是不是？

“源自我们企业网络的恶意活动是不可能的!”有人也许这样说，这是非常有希望的。但这并不意味着恶意的网络活动不会发生。下面是一些你可能想要防止的恶意活动：

·传输出去的欺骗性IP数据包被发往互联网

·从PC直接发到互联网上去的SMTP电子邮件

·通过电子邮件或其它一些端口，从用户计算机网络发出病毒和蠕虫

·从用户互联网路由器发出的黑客行为

防止出网的IP地址欺骗

正如在本人近期的一篇文章中所提及的，有一些IP地址是公司必须避免用于互联网通信的：（（）中列示的是子网掩码）

·10.0.0.0（255.0.0.0 ）
·172.16.0.0（255.240.0.0 ）
·192.168.0.0/16 （255.255.0.0 ）
·127.0.0.0（255.0.0.0 ） 
·224.0.0.0（224.0.0.0）
·169.254.0.0（255.255.0.0 ）
·240.0.0.0（240.0.0.0 ）

使用所有这些IP地址中的任何一个进行通信都可能是欺骗性的和恶意的，也就是说，我们不仅要阻止源地址为上述范围、从互联网传入到我们的局域网的数据通信，还要阻止那些源地址为上述范围且发往互联网的IP数据包。

要实现这个要求，我们可以在路由器上创建一个出口访问控制列表（ACL）过滤器，将其运用在出口方向的互联网接口上，下面给出一个例子：

Router# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# ip access-list ext egress-antispoof
Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any 
Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any 
Router(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any     
Router(config-ext-nacl)# deny ip 240.0.0.0 15.255.255.255 any     
Router(config-ext-nacl)# deny ip  0.255.255.255 any
Router(config-ext-nacl)# permit ip any any     
Router(config-ext-nacl)# exit

Router(config)#int s0/0
Router(config-if)#ip access-group egress-antispoof out

这样就防止了从指定的IP地址范围发出的任何数据包流出你的网络。（正如本人在《利用思科 IOS 防止遭受IP地址欺骗攻击》所提到的关于入网的IP欺骗那样，另一个保护网络免受IP地址欺骗的方法是反向路径转发或IP验证。不过对于阻止出口的数据通信来说，用户可以使用快速以太网路由器的0/0接口而不是使用串行接口）。

除了要防止欺骗性数据包流出你公司的网络，还有其它一些方法你可以用来防止恶意用户滥用你的网络资源。

禁止SMTP电子邮件从PC直接发到互联网上

你肯定不想任何人使用你的公司的网络发送垃圾信息。要防止别人利用你的系统发送垃圾邮件等，你的防火墙绝对不应该允许从你的PC直接发送数据，并传输到互联网的任何端口上。

换句话说，用户应该控制到底是哪种类型的数据通信可以通过你的互联网连接将数据传输出去。假设你的公司有一个互联网电子邮件服务器，那么我们就该配置使所有的发往互联网的SMTP通信只能源自那台服务器，而不能是某台内部的PC。

[1] [2] 下一页

复制本页网址和标题，发送给你QQ/Msn的好友一起分享

上一篇:使浏览网页速度马上就变快的方法

下一篇:安全的配置和应用MySQL数据库