摘要:局域网监控,设定防火墙路由访存表,防止黑客入侵,局域网管理,防火墙设置教程,设置防火墙访存表,防范黑客入侵,防火墙访存表详解
|
局域网监控,设定防火墙路由访存表,防止黑客入侵 |
防火墙的方法有两种:端口扫描、路径追踪,今天我们来了解一下防止黑客入侵的方式。 一、大多数防火墙都带有其自身标识 如CHECKPOINT的FIREWALL-1缺省在256、257、258号的TCP端口进行监听;MICROSOFT的 PROXY SERVER则通常在1080、1745号TCP端口上进行监听。因为大多数IDS产品缺省配置成只检测大范围的无头脑的端口扫描,所以真正聪明的攻击者决不会采用这种卤莽的地毯扫描方法。而是利用如NMAP 这样的扫描工具进行有选择的扫描,而躲过配置并不精细的IDS防护,如下: command: nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254 !!! 注意因为大多数防火墙会不对ICMP PING请求作出响应,故上行命令中的-P0参数是为了防止发送ICMP包,而暴露攻击倾向的。如何预防?配置CISCO 路由器ACL表,阻塞相应的监听端口;如: access-list 101 deny any any eq 256 log! block firewall-1 scans access-list 101 deny any any eq 257 log! block firewall-1 scans access-list 101 deny any any eq 258 log! block firewall-1 scans access-list 101 deny any any eq 1080 log! block socks scans access-list 101 deny any any eq 1745 log! block winsock scans 二、路径追踪 UNIX的traceroute,和NT的 tracert.exe来追踪到达主机前的最后一跳,其有很大的可能性为防火墙。若本地主机和目标服务器之间的路由器对TTL已过期分组作出响应,则发现防火墙会较容易。然而,有很多路由器、防火墙设置成不返送ICMP TTL 已过期分组,探测包往往在到达目标前几跳就不再显示任何路径信息。如何预防?因为整个trace path上可能经过很多ISP提供的网路,这些ROUTERE的配置是在你的控制之外的,所以应尽可能去控制你的边界路由器对ICMP TTL响应的配置。 如:access-list 101 deny icmp any any 1 0 ! ttl-exceeded 将边界路由器配置成接收到TTL值为0、1的分组时不与响应。 三、保护路由器如何才能防止网络黑客入侵 (1)更新路由器操作系统:就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件瑕疵和缓存溢出的问题。 (2)要经常向路由器厂商查询当前的更新和操作系统的版本。 (3)修改默认的口令:据卡内基梅隆大学的计算机应急反应小组称,80%的安全事件都是由于较弱或者默认的口令引起的。 (4)避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则。 (5)禁用HTTP设置和SNMP(简单网络管理协议):你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是,这对路由器来说也是一个安全问题。如果路由器有一个命令行设置,禁用HTTP方式并且使用这种设置方式。如果你没有使用路由器上的SNMP,那么就不需要启用这个功能。 (6)封锁ICMP(互联网控制消息协议)ping请求:ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用路由器上启用的ICMP功能找出可用来攻击网络的信息。 (7)禁用来自互联网的telnet命令:在大多数情况下,不需要来自互联网接口的主动的telnet会话。如果从内部访问路由器设置会更安全一些。 四、如何设置路由器上防止DDoS攻击 使用 ip verfy unicast reverse-path 网络接口命令 ,这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换(switching)。 只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。 |
作者: AnyView(网络警)网络监控软件 时间: 2014-5-19 12:20:23 点击:
|
相关资讯:
[网络监控软件在企业网管中应用实践] 网络管理员常犯八大错误,企业网络管理经验谈,网络运维经验总结 [网络监控软件在企业网管中应用实践] 如何简化企业局域网网络安全,局域网上网监控,以专用设备简化网络安全 [网络监控软件在企业网管中应用实践] 局域网网管应用技巧:内网安全十大策略说明,内网安全与网络边界安全不同 [网络监控软件在企业网管中应用实践] 如何关注中小企业网络管理,中小企业局域网监控,网络管理五大基本功能 [网络监控软件在企业网管中应用实践] 如何防止员工上网成瘾?控制员工上网行为,员工上网行为管理,上网监控 [网络监控软件在企业网管中应用实践] 局域网监控解决方案:中小企业网络安全现状与出路,局域网监控软件 [网络监控软件在企业网管中应用实践] 员工上网引发局域网监控管理问题,呼唤网络监管软件,员工上网监控行为管理 [网络监控软件在企业网管中应用实践] 局域网监控:三分技术七分管理,如何加强内网监控,网络监控软件,内网监控 [网络监控软件在企业网管中应用实践] 网络安全管理三个维度:局域网安全防护,内网监控系统,局域网行为审计 [网络监控软件在企业网管中应用实践] 局域网监控和局域网管理发展大趋势:智能化网络管理,智能化网络监控 |
首页 |
著名局域网网络监控软件介绍 |
最好的QQ聊天记录内容监控软件 |
上网行为监控软件购买
Copyright © 2000-2024 Amoisoft.com 厦门天锐科技股份有限公司 版权所有 E-MAIL:Sales@Amoisoft.com
闽ICP备06031865号-3
闽公网安备 35021102001279号