如何使用Cisco IOS來阻止外向IP欺騙

這篇文章主要講解了“如何使用Cisco IOS來阻止外向IP欺騙”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“如何使用Cisco IOS來阻止外向IP欺騙”吧！

以前，我們討論了從入向Internet連接中將欺騙通信過濾掉的重要性但是，入向欺騙并不只是唯一的威脅。實(shí)際上，阻止出向欺騙也是同樣的重要。 

　　這一次，讓我們來看看如何保護(hù)系統(tǒng)免受來自其他方向的威脅——阻止欺騙性IP數(shù)據(jù)包，以及其他有害通訊從本地的網(wǎng)絡(luò)發(fā)往Internet.你可不希望你的網(wǎng)絡(luò)成為一個(gè)惡意活動(dòng)的庇護(hù)所，對吧？ 

　　還不錯(cuò)，在你公司的網(wǎng)絡(luò)上，并沒有發(fā)現(xiàn)任何有關(guān)的惡意活動(dòng)。但是這不意味著它未來不會(huì)發(fā)生。下面是一些你希望阻止的常見惡意行為： 

　　◆面向Internet的朝外IP欺騙數(shù)據(jù) 

　　◆以單臺電腦作為SMTP服務(wù)器，直接發(fā)往互聯(lián)網(wǎng)的電子郵件 

　　◆從公司內(nèi)部發(fā)出的，以電子郵件或者其他端口作為傳播手段的病毒或者蠕蟲 

　　◆對你的互聯(lián)網(wǎng)路由器發(fā)動(dòng)的****** 

　　阻止外向IP地址欺騙

　　正如我在先前文章中提到的，有些指定的IP地址，公司應(yīng)當(dāng)避免將其用于在Internent上的通訊。 

　　10.0.0.0/8 

　　172.16.0.0/12 

　　192.168.0.0/16 

　　127.0.0.0/8 

　　224.0.0.0/3 

　　169.254.0.0/16 

　　240.0.0.0/4 

　　如果有通訊使用了上述IP地址的話，那么十有八九就是虛假的，并且是惡意的。所以你不僅要阻止來自互聯(lián)網(wǎng)的，源地址屬于上述這些IP地址范圍內(nèi)的通信，同時(shí)也要阻止這個(gè)范圍內(nèi)的IP通信發(fā)往互聯(lián)網(wǎng)。 

　　要做到這一點(diǎn)，首先應(yīng)當(dāng)在路由器上建立一個(gè)出口ACL（存取權(quán)限控制列表）過濾器，并對通往互聯(lián)網(wǎng)的接口應(yīng)用該ACL.表格A提供了一個(gè)示例。 

　　它阻止了任何來自公司網(wǎng)絡(luò)中，指定IP地址范圍內(nèi)的通信。正如我在關(guān)于內(nèi)向IP欺騙文章中所提到的，要想保護(hù)網(wǎng)路免遭IP地址欺騙，另一個(gè)辦法就是反向路徑轉(zhuǎn)發(fā)或者是IP校驗(yàn)。要想阻擋外向通訊，你將使用路由器的快速以太0/0接口，而不是串行接口。 

　　除了阻止來自公司網(wǎng)絡(luò)中的欺騙性IP地址數(shù)據(jù)包之外，還有很多其他步驟你也應(yīng)當(dāng)采取，以防止惡意用戶利用你的網(wǎng)絡(luò)。 

　　禁止單臺PC使用SMTP向互聯(lián)網(wǎng)直接發(fā)送電子郵件

　　你可不希望有人利用公司的網(wǎng)絡(luò)發(fā)送垃圾信。要想阻止這個(gè)，你的防火墻應(yīng)當(dāng)不允許網(wǎng)上的電腦直接和互聯(lián)網(wǎng)的任何端口直接通信。 

　　換句話說，你應(yīng)當(dāng)控制何種通訊可以直接從你的互聯(lián)網(wǎng)連接上發(fā)送出去。假設(shè)你的公司有一臺內(nèi)部電子郵件服務(wù)器，所有的SMTP通訊都應(yīng)當(dāng)來自于這臺內(nèi)部服務(wù)器，而不是來自于其他任何一臺內(nèi)部網(wǎng)上的電腦。 

　　你可以通過讓防火墻（起碼也該使用ACL）僅允許指定目標(biāo)端口發(fā)往Internet，從而保證我說剛才說到的這一點(diǎn)。舉例來說，絕大多數(shù)公司僅需允許所有電腦使用互聯(lián)網(wǎng)上的80端口，以及443端口。 

　　防止來自公司內(nèi)部的病毒或者蠕蟲向外傳播

　　通過控制局域網(wǎng)上客戶端用于和互聯(lián)網(wǎng)進(jìn)行通訊的端口，你有很多方法可以阻止病毒和蠕蟲的傳播。但是，僅僅限制了端口還不夠，因?yàn)閻阂庥脩舫３？梢哉业椒椒ɡ@過端口限制。 

　　要想更深入的阻止病毒和蠕蟲，可以考慮使用一些UTM設(shè)備，比如Cisco的ASA或者Fortinet.既然標(biāo)稱為“anti-X”設(shè)備，這兩者都可以阻擋大量的安全威脅。 

　　阻止對你的互聯(lián)網(wǎng)路由器的***

　　要保護(hù)你的路由器，就要確保你已經(jīng)在你的Cisco路由器上配置了SSH，設(shè)置了一個(gè)ACL，定義了你的管理控制臺的源IP地址，并運(yùn)行了 Cisco的SDM（安全設(shè)備管理器，Security Device Manager）安全審核功能，以確保你不會(huì)漏過任何一個(gè)常見的安全漏洞。 

　　要記?。罕ＷC你的網(wǎng)絡(luò)免受來自互聯(lián)網(wǎng)上***的確重要，但是阻止這些***者利用你的網(wǎng)絡(luò)做壞事也是同樣的重要。這四個(gè)方法可以讓你在這一點(diǎn)上獲得更多的保證。 

感謝各位的閱讀，以上就是“如何使用Cisco IOS來阻止外向IP欺騙”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對如何使用Cisco IOS來阻止外向IP欺騙這一問題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識點(diǎn)的文章，歡迎關(guān)注！