眾所周知,通過在路由器或交換機上設置訪問控制列表ACL ,可以在一定程度上起到提高安全,防范黑客與病毒攻擊的效果,對于使用思科路由器的用戶來說,了解一些關于Cisco路由器默認設置的問題還是有用的,,下面就由我們北大青鳥的網絡專家解析一下Cisco路由器默認設置細節。
1.安全分析
有過路由器配置經驗的讀者應該知道網絡管理員經常通過在路由器或交換機上設置訪問控制列表來完成防范病毒和黑客的作用。Cisco出品的路由器或交換機的訪問控制列表都默認在結尾添加了“DENY ANY ANY”語句,這句話的意思是將所有不符合訪問控制列表(ACL)語句設定規則的數據包丟棄。那就是不符合ACL設定規則的數據包也將被路由器無條件轉發而不是Cisco公司采用的丟棄處理,這造成了該過濾的數據包沒有被過濾,網內安全岌岌可危。非法數據包繞過了網絡管理員精心設置的防病毒“馬其諾防線”,從而輕而易舉的侵入了用戶的內網。
2.解決措施
我們可以在ACL的最后添加上“DENY ANY ANY”語句或將默認的ACL結尾語句設置為DENY ANY ANY.頭一種方法僅僅對當前設置的ACL生效,以后設置新ACL時路由器還是默認容許所有數據包通過;而第二種方法則將修改路由器的默認值,將其修改成和CISCO設備一樣的默認阻止所有數據包。
(1)ACL規則直接添加法
在華為設備上設置完所有ACL語句后再使用“rule deny ip source any destination any”將沒有符合規則的數據包實施丟棄處理。
(2)修改默認設置法
在華為設備上使用“firewall default deny”,將默認設置從容許轉發變為丟棄數據包。從而一勞百逸的解決默認漏洞問題。因此筆者推薦大家使用第二種方法解決這個默認設置的缺陷問題。
3.Cisco路由器默認設置總結
經過這次“馬其諾”事件,北大青鳥網絡專家做出總結:即使是相同的配置命令,如果廠商不同最好事先查閱一下用戶手冊(特別注意默認設置),往往默認設置會造成很多不明不白的故障。發現問題以后也不要輕易懷疑設備硬件有問題,應該多從軟件及配置命令入手查找問題所在。一個小小的默認設置就將精心打造的防病毒體系完全突破,所以對于我們這些網絡管理員來說每次設置后都應該仔細測試下網絡狀況,確保所實施的手段得以生效。
