上海蓝盟IT外包经验谈

Cisco IOS阻止传出IP欺骗的步骤如下
您不希望您的网络成为恶意活动的避难所吗？您公司的网络上可能没有发现任何恶意活动。但这并不意味着它将来不会发生。以下是您要阻止的一些常见恶意行为：
面向Internet的外向IP欺骗数据
使用单台计算机作为SMTP服务器直接将电子邮件发送到Internet
从公司内部发送并通过电子邮件或其他端口传输的病毒或蠕虫
黑客攻击你的互联网路由器
阻止传出IP地址欺骗
正如我在上一篇文章中提到的，公司应该避免一些指定的IP地址在Internent上进行通信。
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
127.0.0.0/8
224.0.0.0/3
169.254.0.0/16
240.0.0.0/4
如果使用上述IP地址进行通信，则十分之九是虚假和恶意的。因此，您不仅必须阻止来自Internet的通信，源地址属于上述IP地址范围，还要防止此范围内的IP通信被发送到Internet。
为此，首先在路由器上创建退出ACL（访问控制列表）过滤器，然后将ACL应用于Internet的接口。表A提供了一个例子。
它在指定的IP地址范围内阻止公司网络内的任何通信。正如我在关于入站IP欺骗的文章中提到的，保护您的网络免受IP地址欺骗的另一种方法是反向路径转发或IP验证。要阻止出站通信，您将使用路由器的快速Ethernet 0/0接口而不是串行接口。
除了阻止来自公司网络的欺诈性IP地址数据包之外，还应采取许多其他步骤来防止恶意用户使用您的网络。
不要使用单个PC使用SMTP将电子邮件直接发送到Internet
您不希望有人使用公司的网络发送垃圾邮件。要阻止这种情况，您的防火墙不应允许网络上的计算机直接与Internet上的任何端口通信。
换句话说，您应该控制可以直接从您的互联网连接发送何种通信。假设您的公司有一个内部电子邮件服务器。所有SMTP流量应来自此内部服务器，而不是来自任何其他内部网络。
您可以通过让防火墙（至少ACL）仅允许将指定的目标端口发送到Internet来确保我这样说。例如，大多数公司只需要允许所有计算机在Internet上使用端口80，以及端口443。防止病毒或蠕虫在公司内部传播
通过控制客户端用于与Internet通信的LAN上的端口，有许多方法可以阻止病毒和蠕虫的传播。但是，仅仅限制端口是不够的，因为恶意用户经常可以找到绕过端口限制的方法。
要更深入地阻止病毒和蠕虫，请考虑使用某些UTM设备，例如Cisco的ASA或Fortinet。由于它们被标记为“反X”设备，因此它们都可以阻止大量安全威胁。
阻止您的互联网路由器的攻击
要保护路由器，请确保已在Cisco路由器上配置SSH，设置ACL，定义管理控制台的源IP地址，以及运行Cisco SDM（安全设备管理器，安全设备管理器）安全审核功能以确保你不会错过任何常见的安全漏洞。
请记住：保护网络免受Internet攻击非常重要，但同样重要的是要防止这些攻击者利用您的网络做坏事。这四种方法将为您提供更多保证。
Cisco IOS阻止传出IP欺骗的叙述已经结束。您了解到，按照上述内容，我相信您可以达到预期的效果。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 如何在Cisco IOS中配置IPv6防火墙？

• 分享到：