|
|
|
|
|
|
|
|
制以及对等路由认证可 以防止重路由(rerouting)攻击
包过滤 数据操纵、非授权访问,DOS 利用标准的访问控制列表和扩展的IP访问控制 列表来过滤输入和输出数据流
限制速率 DOS 对ICMP和SYN风暴攻击进行控制
TCP拦截 DOS 对SYN风暴攻击进行控制
网络层加密 数据操纵、侦察 CET和IPsec协议可以帮助确保边界数据的完整 性和保密性
网络地址翻译 数据操纵 NAT可以隐藏内部编址方案并能简化重新编址
端口地址翻译 数据操纵 PAT可以隐藏内部编址方案并扩展有限的注册IP 地址的使用
“Lock-and-Key”(动态) 非授权访问 提供额外的用户访问安全控制
访问控制列表
防火墙特性集 非授权访问 为CISCO路由器提供了丰富的防火墙额外特性
事件日志 数据操纵 帮助为检测和分析攻击类型提供跟踪数据
DOS攻击防护
1、关闭所有不必要的IP服务,在所有接口上使用命令“no ip directed-broadcast”以防止边界路由器变成DOS攻击的广播放大器
2、采用访问控制列表对所有的入流量进行过滤,滤除源地址为私有和保留地址的数据包。
3、采用承诺访问速率(committed access rate CAR)对ICMP数据包风暴进行限速
4、对SYN包进行速率进行限制
配置边界事件记录
service timestamps log datetime msec
service timestamps debug datetime msec
logging trap informationa页码:[1] [2] [3] [4] [5] [6] [7] 第6页、共7页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
