　　access-list 101 deny tcp any eq 69 any eq 69 //阻塞TFTP端口
　　access-list 101 deny tcp any eq 135 any eq 135 //阻塞NetBIOS协议
　　access-list 101 deny tcp any eq 445 any eq 445 //阻塞NetBIOS协议
　　access-list 101 deny tcp any eq range 138 139 any range 138 139 //阻塞NetBIOS协议
　　access-list 101 permit any any

　　b.配置策略图
　　class-map match-all nimda //定义类 nimda
　　match protocol http url "*.ida*" //匹配HTTP协议中的url地址中含有.ida关键词
　　match protocol http url "*cmd.exe*" //匹配HTTP协议中的url地址中含有cmd.exe关键词
　　match protocol http url "*root.exe*" //匹配HTTP协议中的url地址中含有root.exe关键词
　　match protocol http url "*readme.eml*" //匹配HTTP协议中的url地址中含有readme.eml关键词
　　policy-map block_nimda //定义策略图 block_nimda
　 class nimda //将类 nimda 加载到策略图中作为触发事件
　　police 512000 128000 256000 conform-action transmit exceed-action drop violate-action drop //定义路由器速率限制策略

　　结束语：上述所有基于QoS的路由器配置在思科2621XM路由器上测试通过。通过测试，不但可以明显减轻BT、Nimda等病毒对网络的冲击和对网络资源的大量消耗，保护正常计算机用户对网络资源的需求，同时也可以有效防止其他类似的网络蠕虫病毒的攻击，实际价值非常明显。

　　路由器工作原理

　　路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上，路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息，依照拓扑结构动态生成路由表。在数据通道上，转发引擎从输入线路接收IP包后，分析与修改包头，使用转发表查找输出端口，把数据交换到输出线路上。转发表是根据路由表生成的，其表项和路由表项有直接对应关系，但转发表的格式和路由表的格式不同，它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。

　　路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域，这些管理区域称为自治域，自治域区号实行全网统一管理。这样，路由协议就有域内协议和域间协议之分。域内路由协议，如OSPF、IS-IS，在路由器间交换管理域内代表网络拓扑结构的链路状态，根据链路状态推导出路由表。域间路由协议相邻节点交换数据，不能使用多播方式，只能采用指定的点到点连接。

　　路由器结构体系

　　路由器的控制平面，运行在通用CPU系统中，多年来一直没有多少变化。在高可用性设计中，可以采用双主控进行主从式备份，来保证控制平面的可靠性。路由器的数据通道，为适应不同的线路速度，不同的系统容量，采用了不同的实现技术。路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言，可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现数据转发，根据使用CPU的数目，进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发，根据使用网络处理器的数目及网络处理器在设备中的位置，进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。

　　路由器安全设置

　　对于黑客来说，利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期，误导信息流量，使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己，但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

　　堵住安全漏洞

　　限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露，这就使得黑客抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。

　　避免身份危机

　　黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令。用户应该启用路由器上的口令加密功能，这样即使黑客能够浏览系统的配置文件，他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上，用户可以配置一些协议，如远程验证拨入用户服务，这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证，以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分，后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳（SSH）或IPSec内传送安全证书。

上一篇:站长教你租用服务器和选择机房

下一篇:无路由、无服务器共享ADSL上网

路由器基本原理与安全设置技巧相关文章：

·电脑高手的140个电脑技巧

·《拳皇2002》隐藏超杀出招表 - 技巧心得

·IE浏览器再现严重安全漏洞微软紧急发补丁程序

·Vista系统使用技巧总结

·Windows XP的20个超级实用技巧大全

·绝对好用的注册表技巧

路由器基本原理与安全设置技巧相关软件：

·Kaspersky(卡巴斯基) Internet Security 安全套装 V6.0.2.621 中文版

·中文版 AutoCAD2004 应用实例与技巧

·电脑技巧精彩文章一百篇

·美萍安全卫士v12.3

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.net

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot