口来源的IP数据包。还有一种可能更加有效的方法,就是用RPF检查。前提是必须是路由对称的情况下(就是A-B的路径必须也是B-A的路径),而且必须支持CEF转发以及相对应的IOS版本支持。它是通过ip verify unicast rpf来启用的,但是之前必须先启用ip cef。
3.关闭广域网上一些不必要的服务
在Cisco路由器上,有很多服务广域网上根本不必要,但是仍然默认开启,反而造成了安全漏洞,给黑客以可乘之机。所以建议予以手工关闭。
例如:利用访问控制列表(acl)只开启实际使用的tcp、udp端口。同时,执行no service tcp-small-servers, no service udp-small-servers。这些tcp、udp协议上小服务,平时不常使用,但是这些端口容易被人利用,所以应该关闭。 No ip finger,finger协议主要在unix下使用,类似于Cisco IOS中的show user,如果开启容易被黑客看到连接用户,进一步猜测弱密码,进行合法登陆。如果需要防范密码猜测的风险,在路由器上就应该首页码:[1] [2] [3] [4] [5] 第3页、共5页 |
