各人都晓得通过在路由器或交换机上设置拜候掌握列表ACL,能够在必然水平上起到进步平安,提防黑客与病毒进攻的效果,笔者所在公司也不断在利用那个办法。
然而,笔者却在现实工做中发现了一个影响平安的问题,假设对路由器的默认设置不重视的话,很可能会让强大的ACL列表失效,就比如二战的马其诺防线一样,病毒与黑客能够十分轻松地绕道进攻内网计算机。
平安阐发:
有过路由器设置装备摆设体味的读者应该晓得收集治理员经常通过在路由器或交换机上设置拜候掌握列表来完成提防病毒和黑客的感化。Cisco出品的路由器或交换机的拜候掌握列表都默认在结尾添加了“DENY ANY ANY”语句,那句话的意思是将所有不契合拜候掌握列表(ACL)语句设定例则的数据包丢弃。
比来笔者所在公司添置了华为的2621系列路由器,一般情状下CISCO和华为设备的设置装备摆设办法根本不异,所以笔者根据在Cisco路由器上的设置语句造定了ACL规则,并将那些规则输进到华为路由器上。因为CISCO默认主动添加DENY ANY ANY语句,所以笔者也想当然的认为华为路由器也会默认将那个号令添加。
然而,在设置装备摆设后却发现所有ACL过滤规则都没有生效,该过滤的数据包仍然被路由器一般转发。
颠末频频研究、查询材料,笔者发现本来华为公司的拜候掌握列表在结尾处添加的是“PERMIT ANY ANY”语句,如许关于不契合拜候掌握列表(ACL)语句设定例则的数据包将答应通过,如许形成了一个严峻后果,那就是不契合ACL设定例则的数据包也将被路由器无前提转发而不是Cisco公司摘用的丢弃处置,那形成了该过滤的数据包没有被过滤,网内平安朝不保夕。
不法数据包绕过了收集治理员精心设置的防病毒“马其诺防线”,从而垂手可得的侵略了用户的内网。
处理办法:
若何处理那个问题呢?那个问题是因为华为路由器的默认设置形成的。我们能够在ACL的最初添加上“DENY ANY ANY”语句或将默认的ACL结尾语句设置为DENY ANY ANY。
头一种办法仅仅对当前设置的ACL生效,以后设置新ACL时路由器仍是默认答应所有数据包通过;而第二种办法则将修改路由器的默认值,将其修改成和CISCO设备一样的默认阻遏所有数据包。
1、ACL规则间接添加法
在华为设备上设置完所有ACL语句后再利用“rule deny ip source any destination any”将没有契合规则的数据包施行丢弃处置。
2。修改默认设置法
在华为设备上利用“firewall default deny”,将默认设置从答应转发变成丢弃数据包。从而一劳百逸的处理默认破绽问题。因而笔者选举各人利用第二种办法处理那个默认设置的缺陷问题。
总结:
颠末此次“马其诺”事务,我们能够发现即便是不异的设置装备摆设号令,假设厂商差别更好事先查阅一下用户手册(特殊重视默认设置),往往默认设置会形成良多不明不白的毛病。
发现问题以后也不要随便思疑设备硬件有问题,应该多从软件及设置装备摆设号令进手查找问题所在。一个小小的默认设置就将精心打造的防病毒系统完全打破,所以关于我们那些收集治理员来说每次设置后都应该认真测试下收集情况,确保所施行的手段得以生效。