网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段 。【用访问控制下文构筑“铜墙铁壁”】笔者在路由器和交换机上进行ACL(访问控制列表)配置来防范病毒和黑客攻击,效果非常好 。经过配置后,在很多主机没打相应补丁的情况下,各网络设备有效地阻止了震荡波的攻击 。
由于病毒(特别是系统漏洞病毒)都是利用相应端口进行传播与攻击的,所以我们可以考虑通过在路由器或交换机上设置相应的ACL进行防范 。
我们以Cisco产品为例进行说明,具体ACL配置如下:
access-list 101 permit tcp any any established
这个命令是建立一个ACL,它只容许已经建立的连接从外向里传输数据,而对于事先没有建立的连接将被拒绝进行数据传输 。最后再把ACL绑定到相应的端口就可以达到预防病毒的目的了 。
现在让我们来看看如何利用这一技术迎战震荡波 。公司很多计算机没有打补丁,这样外部感染了震荡波的主机会通过445、5554和9996这3个端口向内部主机传播病毒 。由于我们设置了ACL,所以当外部的病毒主动向内部445、5554、9996端口传输时,这些数据会被路由器过滤掉,实现真正的防患于未然 。而这样的设置对内网中的用户使用网络没有任何影响 。
提示
1.由于established语句只支持TCP协议,所以如果公司要传输DNS等信息,还要设置相应的ACL语句把UDP的传输打开,格式为access-list 101 permit udp any any 。
2.这样设置之后用户会抱怨FTP使用不了,因为FTP密码验证和数据传输使用的不是同一个端口,密码验证用21端口,而数据传输用20端口,所以我们也要加上相应的ACL,格式为access-list 101 permit tcp any any eq ftp-data或access-list 101 permit tcp any any eq 20 。(责任编辑:liucl)
推荐阅读
- Gigamon推出新品 可带外监测网络性能
- 基于PACS的网络层访问控制方案
- 访问控制下文构建网络防火墙体系
- 基于时间的访问控制下文设置案例
- 深信服完成电信网络移动办公安全接入
- 小工具让网吧线路可以自由切换
- 通过代理上网 让网络天堑变通途
- 网络基础知识讲座之二:理解子网与CIDR
- 网络基础知识讲座之一:理解IPv4地址的含义