eny ip 224.0.0.0 7.255.255.255 any
! 阻止源地址为多目的地址的所有通信流。
access-list 101 deny ip host 0.0.0.0 any
! 阻止没有列出源地址的通信流。
注:可以在外部接口的向内方向使用101过滤。
2. 防止外部的非法探测
非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。可建立如下访问列表:
access-list 102 deny icmp any any echo
! 阻止用ping探测网络。
access-list 102 deny icmp any any time-exceeded
! 阻止用traceroute探测网络。
注:可在外部接口的向外方向使用102过滤。在这里主要是阻止答复输出,不阻止探测进入。
3. 保护路由器不受攻击
路由器一般可以通过telnet或SNMP访问,应该确保Inter页码:[1] [2] [3] [4] [5] [6] [7] 第2页、共7页 |
