多年经验的企业防火墙的配置.pdfVIP

假如你是某公司网管，在如图所示的网络中，内部网IP 段（ ） 要实现外部和内部网络的通信安全,请配置防火前实现以下功能： 1.防止外部的IP 地址欺骗 2．控制内部网的非法IP 地址进入外部网 3．对内部网资源主机的访问控制 4．防止外部的ICMP 重定向欺骗 5．防止外部的资源路由选择欺骗 6．对拨号上网用户的访问控制 7.防止内部用户盗用IP 方法 8.防止对路由器的攻击 9.内部网络流量的控制 特别说明：常用端口号如下： FTP 文件传送协议(File Transfer Protocol,简称FTP)，端口号：21 （控制端口），20 （数据端口） DNS （域名解析协议） 端口号：53 SMTP （Simple Mail Transfer Protocal）称为简单邮件传输协议 端口：25 POP 的全称是 Post Office Protocol （简称POP3），即邮局协议 端口：110 HTTP （超文本传输协议） 端口：80 范围：0——1023 HTTPS （Secure Hypertext Transfer Protocol 安全超文本传输协议） 端口：443 DHCP （动态主机配置协议） 所有 DHCP 流量都使用用户数据报协议 (UDP)。 从 DHCP 客户端发送到 DHCP 服务器的消息使用 UDP 源端口 68 和 UDP 目标端口67。 从 DHCP 服务器发送到 DHCP 客户端的消息使用 UDP 源端口 67 和 UDP 目标端口68 SNMP （简单网络管理协议）， 号端口：161 Telnet （运程控制协议）， 端口号：23 终端服务远程桌面共享， 端口：3389 根据我长期工作经验，答案及解析如下： 1.防止外部的IP 地址欺骗 IP 地址欺骗是一种常见的对企业内部服务器的攻击手段.外部网的攻击者将其数据包的源地 址伪装成内部网合法的IP 地址或Loopback 地址，以绕过防火墙，实现非法访问，为此，我 们可按以下方法定义访问列表以防止IP 地址欺骗. 防止外部网的用户使用内部网的IP 地址作为源地址以实现非法访问. 在全局配置模式（Global Configure Mode ）下添加： access-list 102 deny ip 55 any 该命令的含义为拒绝源地址为—55 的IP 包通过，显然应该将这条 规则应用到从外部网到内部网的所有数据包上，而不是应用到从内部网到外部网的数据包 上，因此，应将它适用到外部端口serial0 上，在接口模式（Interface Mode ）下设置： interface serial0 ip access-group 102 in 防止外部网的用户使用Loopback 地址作为源地址以实现非法访问. 在全局配置模式（Global Configure Mode ）下添加： access-list 102 deny ip 55 然后，在接口模式 (Interface Mode)设置： interface serial0 ip access-group 102 in 2．控制内部网的非法IP 地址进入外部网 通过设置访问列表，可以控制内部网的哪些机器可以进入外部网，哪些机器不可以进入外部 网.假设只允许IP 地址为0 的机器进入外部网，而不通允许其他机器进入外部网， 则可按如下设置： 在全局模式下设置 access-list 103 permit 0 在接口模式下设置 interface Ethernet0 ip access-group 103 out 通常，内部网允许某一子网段（如 210.31.1200—6）中的所有机器都可进入外 部网，这时只需将第一步改为access-list 103 permit .6 即可. 3．对内部网资源主机的访问控制 企业内部网的服务器是非法访问者的重点攻击对象，同时它又必须为外部用户提供一定的服 务.对于特定的服务器，我们可以只允许访问特定的服务.也就是说，对于Web 服务器只允许 访问Web 服务；而对FTP 服务器，只允许访问FTP 服务，以此类推.这样可以啬攻击者的难 度. ( 1)允许只对 的WWW 访问.在全局配置模式下设置： access-list 104 permit tcp any host eq www (2) 允许只对 的