网络设备的安全与应用实践教材.ppt

路由器实现多设备控制端口访问的配置 开始配置 先用Cisco 2511路由器的一个异步串行端口连接到用户的网络核心交换机、路由器和防火墙的每一个端口（这些设备各自同样需要具备串行控制口）；然后再按照ip host命令对新的Cisco终端服务器进行配置； 管理多个连接 在命令行中输入主机名称，即使用一个IP主机Telnet到用户配置过的设备上，这是1号连接。在没有断开连接的情况下回到命令行，按下[Ctrl]＋[Shift]＋6，然后按下x，将显示控制台服务器提示符。相同方法进行2号连接； 输入show sessions命令，可列出用户当前的会话。假设用户有两个会话：一个到第一台路由器，一个到第二台路由器。如果要取消其中某个会话，可输入disconnect X，X为（“1”或“2”）。若要转到某个会话，输入session number（“1”或“2”）即可。 第三十一页，共七十七页。 实现精确控制访问的路由器配置 路由器设置 (1) 在路由器上指定可访问外界的IP地址 该步骤是通过设置路由器上的IP访问限制实现的，在E0端口（局域网端口）上添加一个访问列表（access-list ），只有指定了的IP地址允许进入； (2) 禁止外界访问内部的Telnet和FTP端口 在E0端口上添加一个访问列表，禁止进入20、21和23端口（20和21为FTP端口，23为Telnet端口）； (3) 防止授权IP地址的盗用 在路由器上建立一个静态ARP； (4) 在EXEC命令态下用copy run start命令保存所做的修改映射表 第三十二页，共七十七页。 工作站配置 (1) 进入“开始”→“设置”→“网络连接”→“本地连接”，点击“属性”后进入“本地连接属性”。 (2) 选定“TCP/IP协议”（如图2.3所示），双击之或点击“属性”按钮，出现“TCP/IP属性”窗口，如图2.4所示。 (3) 选定“使用下面的IP地址”，在“IP地址”和“子网掩码”框中填写IP地址（本例为1）和子网掩码（）。 (4) 在“网关”项中，将路由器的E0地址（本例为）填入，作为默认网关。这一步对于能访问外界机器至关重要，因为在局域网中，路由器是与外界相连的唯一出口。 (5) 选定“使用下面的DNS服务器地址”项，填写“首选DNS服务器”和“备用DNS服务器”。 (6) 最后单击“确定”按钮，重新启动计算机 第三十三页，共七十七页。 第三十四页，共七十七页。 路由器的其他安全配置 IP欺骗的简单防护 为防止对内部网络的IP欺骗，可过滤这样一些IP地址，如：Router(config)# access-list 100 deny ip 55 any log； TCP SYN的防范防护 通过访问列表防范TCP SYN； 通过TCP截获防范TCP SYN； Smurf进攻的防范 Router(config)# access-list 108 deny ip any host 55/0 log 第三十五页，共七十七页。 DDoS攻击的防范 ！ The Trinoo DDos system Router(config)# access-list 113 deny tcp any any eq 27665 log Router(config)# access-list 113 deny udp any any eq 31335 log Router(config)# access-list 113 deny udp any any eq 27444 log !The Stacheldtraht DDos system Router(config)# access-list 113 deny tcp any any eq 16660 log Router(config)# access-list 113 deny tcp any any eq 65000 log ! The TrinityV3 system Router(config)# access-list 113 deny tcp any any eq 33270 log Router(config)# access-list 113 deny tcp any any eq 39168 log ! The Subseven DDos system and some Variants Router(config)# access-list 113 deny tcp any any range 6711 6712 log 第三十六页，共七十七页。 2.3 交换机安全与应用实践 2.3.1 交换机安全 交换机是一种基于MA