三、保护网络
3.1防止IP地址欺骗
黑客经常冒充地税局内部网IP地址,获得一定的访问权限。
在省地税局和各地市的WAN Router上配置:
?防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)
包发送到某个接口,检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发,若是,转发,否则,丢弃。
Router(config-t)#ip cef
Router(config-t)#interface e0
Router(config-if)# ip verify unicast reverse-path 101
Router(config-t)#access-list 101 permit ip any any log
注意:通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。
此项已配置。
防止IP地址欺骗配置访问列表
防止外部进行对内部进行IP地址
Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any
Router(config-t)#access-list 190 permit ip any any
Router(config-t)#int s4/1/1.1
Router(config-if)# ip access-group 190 in
防止内部对外部进行IP地址欺骗
Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any
Router(config-t)#int f4/1/0
Router(config-if)# ip access-group 199 in
四、保护服务器
对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。
ip route 130.1.1.1 255.255.255.255.0 null
在WAN Router上配置CBAC,cisco状态防火墙,防止Sync Flood攻击
hr(config)#int s0/0
hr(config-if)#ip access-group 100 in
hr(config)#int f0/0
hr(config-if)#ip inspect insp1 in
hr(config)#ip inspect audit-trial
hr(config)#ip inspect name insp1 tcp
hr(config)#ip inspect max-incomplete high 350
hr(config)#ip inspect max-incomplete low 240
hr(config)#ip audit
hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80
在WAN Router 上配置IDS入侵检测系统
hr(config)#ip audit name audit1 info action alarm
hr(config)#ip audit name audit1 attack action alarm drop
reset
hr(config)#ip audit audit1 notify log
hr(config)#int s0/0
hr(config)#ip audit audit1 in
五、网络运行监视
配置syslog server,将日志信息发送到syslog server上
Syslog Server纪录Router的平时运行产生的一些事件,如广域口的up, down
, OSPF Neighbour的建立或断开等,它对统计Router的运行状态、流量的一些状态,电信链路的稳定有非常重要的意义,用以指导对网络的改进。
Router(config-t)#logg on
Router(config-t)#logg 172.5.5.5
Router(config-t)#logg facility local6
