内容发布更新时间 : 2024/5/18 23:13:06星期一 下面是文章的全部内容请认真阅读。
第五章 Internet接入模块
R-2811-A(config-if)#exit R-2811-A(config)#int f0/0
R-2811-A(config-if)#ip nat outside //定义F0/0为外部接口
5.3.3 配置路由器的路由功能
下面命令是到Internet外网上的一条缺省路由。
R-2811-A(config)#ip route 0.0.0.0 0.0.0.0 201.2.2.2 //企业网内部往外发的该接口是Internet上ISP的路由器接口,它与R-2811-A的F0/0接口在同一子网内。
下面命令创建13条静态路由,将对内网的访问路由至192.168.2.2端口。 R-2811-A(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.10.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.20.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.30.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.40.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.50.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.60.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.70.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.80.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.90.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.100.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.110.0 255.255.255.0 192.168.2.2 R-2811-A(config)#ip route 192.168.120.0 255.255.255.0 192.168.2.2
31
第五章 Internet接入模块
5.3.4 验证地址转换
使用show ip nat translations 查看路由器上的地址转换情况,在Cisco Packet Tracer中我们用财务部和人力部的两台电脑PC1和PC2访问201.2.2.2,然后在路由器上输入show ip nat translations查看地址转换情况。地址转换情况如图4-6所示。
图4-6地址转换验证
5.4 路由器的安全问题
路由器是外网进入企业网内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道
32
第五章 Internet接入模块
屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护。
5.4.1 对外禁用telnet协议
首先,telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,telnet可以登录到大多数网络设备和UNIX服务器,并可以使用相关命令完全操纵它们。这是极其危险的,因此必须加以屏蔽。
R-2811-A(config)#access-list 100 deny tcp any any eq telnet //对外屏蔽telnet
R-2811-A(config)#access-list 100 permit ip any any
5.4.2 对外禁用snmp、snmptrap
利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型:SNMP和SNMPTRAP。以下的命令则显示了如何禁用这两个协议。
R-2811-A (config)#access-list 101 deny udp any any eq snmp //对外禁用snmp
R-2811-A (config)#access-list 101 deny udp any any eq snmptrap //对外禁用snmptrap
5.4.3 对外屏蔽其他不安全的协议或服务
这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。
可以将针对以上协议综合进行设计,如下所示。
R-2811-A (config)#access-list 101 deny tcp any any range 512 514 //屏蔽远程执行、远程登录和远程命令
33
第五章 Internet接入模块
R-2811-A (config)#access-list 101 deny udp any any eq 111
5.4.4 针对DoS攻击的设计
DoS攻击(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且极具破坏力的攻击手段,它可以导致服务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。
R-2811-A (config)#access-list 101 deny icmp any any eq echo-request R-2811-A (config)#access-list 101 deny udp any any eq echo R-2811-A (config)#access-list 101 permit ip any any //将ACL应用于f0/0接口 R-2811-A (config)#int f0/0
R-2811-A (config-if)#ip access-group 101 in
保护企业网免受攻击,路由器的安全就显得十分重要,有条件的话可以在买一个专业防火墙,然后配置它。或者直接在路由器上配置访问控制列表(ACL),在一定程度上限制外网访问。
34
第六章 远程访问模块
第六章 远程访问模块
远程访问是只对企业内部网络进行连接的人员,不是通过企业办公地点的网络线路进行,远程访问一般是为出差人员、外地小型办公机构设立。虽然这些人不在企业所在地,但通过远程访问,仍能够与企业联系,访问企业的数据,取得企业的文件,接收自己的电子邮件,因此与企业的联系依然存在。远程访问使得企业人员无论身处何地,只需一条电话线,就如同企业就在身边。
当一个人出差在外遇到问题时,他可以通过远程访问连接到企业网上,得到企业的最新信息。即使出差工作中遇到了较大的难题,他也能够将问题和有关参数、数据通过远程访问传递到企业,企业组织力量快速解决问题后,把结果传送回出差人员,使得出差人员不必再次往返,既节约了时间,也省去了奔波劳累和旅行费用,提高工作的效率。
远程访问模块模拟图如图6-1所示。
图6-1远程访问模拟图
6.1 IPSec远程接入EVS设置
6.1.1 配置过程
在EVS路由器上设置IPSec远程接入时,需要执行以下基本任务:
35