这次的重点是启用了一台Cisco2620路由器,并做如下设置(命令清单见后): a) NAT转换,隐藏局域网内部计算机的IP地址,这样解决了客户机直接暴露在公网上的问题;同时也把所有的客户机放到了一个网段内,便于网络管理,便于打印机和数据共享; b) ACL(访问控制列表)过滤。对流经的数据包进行过滤,把已知不安全的地址段、端口屏蔽; c) 地址绑定。防止用户盗用IP地址,造成地址冲突,避免被入侵者利用; d) 还有控制对路由器的Telnet访问一些辅助安全设置,详见命令清单。
服务器方面 a) 每台服务器仍然有接口直接接入公网,这样可以保证访问速度; b) 由于天网防火墙似乎对服务器双至强处理器兼容性不好,频繁出错,于是决定服务器使用Windows2003自带的防火墙进行保护,只打开需要的端口,其余关闭; c) A服务器仍提供WWW服务,B服务器安装ftp服务用于满足大量的数据交换; IP地址每个办公室分配5个,保留20个给网络中心,保留50个机动使用。
路由器命令清单
NAT设置命令
! 定义地址池和访问列表、设定NAT转换 Router(config)# ip nat pool jyj 192.168.1.1 192.168.1.255 255.255.255.0 Router(config)# access-list 99 pemit 192.168.1.0 0.0.0.255 Router(config)# ip nat inside source list 99 pool jyj overload !定义静态映射,特定的服务器需要 Router(config)# ip nat inside source static 192.168.1.192 111.222.111.222 ! 进入内部端口配置模式,指定NAT内部端口 Router(config)# int f0/0 Router(config-line)# ip nat inside !进入外部端口配置模式,指定NAT外部端口 Router(config)# int e1/0 Router(config-line)# ip nat outside (说明: 本部分命令为网上参考.需注意采用正确的工作模式,一般为以下三种模式的一种: * 特权模式 * 全局配置模式 * 局部配置模式)
! 用于控制ICMP扫描 Router(config) # access-list 101 deny icmp any any echo ! 控制外网使用保留地址访问,防止地址欺骗攻击,共有以下地址段需要控制 !192.168.0.0,掩码255.255.0.0 Router(config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 any !以下地址段仿照192.168.0.0地址段进行设置,注意把掩码求反才能用在命令中: !172.16.0.0(255.255.0.0),10.0.0.0(255.0.0.0),127.0.0.0(255.0.0.0),169.254.0.0(255.255.0.0), !192.0.2.0(0.0.0.255),224.0.0.0(15.255.255.255)20.20.20.0(255.255.255.0),204.152.64.0(0.0.2.255), !0.0.0.0(0.255.255.255)
! 用于关闭的端口列表(为了保险起见,TCP和UDP都关闭相应端口) : Router(config) # access-list 101 deny tcp any any eq 69 !134 135 136 137 138 445 139 443 593 4444 1434 !允许其它的通讯 Router(config) # access-list 101 permit ip any any !将访问列表加载到外部端口e0/0 Router(config)#int e0/0 Router(config-if)#ip access-group 101 in
改造总结
网络改造完成后,至今没有发生大面积病毒传染造成网络运行不畅,也没有发现黑客入侵现象。网络一下子清静了许多。 可见在没有配置专业防火墙的前提下,只要充分的利用手头的资源,也可以一定程度的保证网络安全运行。这对经济能力有限的单位特别有参考意义,除此之外,其实还有很多地方可以完善: 1. 架设ISA防火墙。作为网络接入的冗余措施,更能对数据流进行精细的检查、控制,比如: a) 对外,更有效的防止各种各样的攻击,入侵检测; b) 对内,可以进行BT控制,QQ控制,网络游戏的控制。 c) 恶意插件,恶意网站。 2. 网络版杀毒软件、个人防火墙的安装,例如:Symantec Client Security。这样可以避免用户自行关闭杀毒软件或者防火墙软件,在网络安全上产生漏洞。 其实路由器的功能还很强大,比如SSL的验证,VPN的实施,大家可以充分挖掘Cisco设备的潜力。