access-list 104 permit tcp any host 210.31.120.1 eq www
(2) 允许只对 210.31.120.2 的 ftp 访问.在全局配置模式下设置:
access-list 104 permit tcp any host 210.31.120.2 eq ftp
(3) 允许只对 210.31.120.3 的 E-mail 访问.在
局配置模式下设置:
access-list 104 permit tcp any host 210.31.120.3 eq smtp
access-list 104 permit tcp any host 210.31.120.3 eq pop3
(4) 允许只对 210.31.120.4 的 DNS 访问.在全局配置模式下设置:
access-list 104 permit tcp any host 210.31.120.3 eq 53
(5) 允许 DNS 服务器之间的数据流动.在全局配置模式下设置:
access-list 104 permit tcp any host 210.31.120.4 eq domain
以上各式中 any host 代表具有任何源地址的主机,由于 Http,FTP ,E-mail 采用 TCP 作为传输
协议,而 DNS 采用 UDP 作为传输协议,因此以上各式中允许相应的传输协议.
(6)对于工作站来说,应该不允许任何外部网络主机首先发起的连接,但是如果是内部工
作站发起的连接,刚应该接收.这可以通 TCP 中的 ACK 位是否被置位来区分,因为对于 TCP
来说,除了第一个包 ACK 位没有置位外,其他的包都有 ACK 位.因此可在全局配置模式下
设置:
access-list 104 permit tcp any 210.31.120.0.0.0.0.255 established
(7)由于 FTP 数据传输是由外部 FTP 服务器首先发起的,因此必须开放所有工作站 1024
以上的端口,以用于 FTP 数据的传输.为些可在全局配置模式下设置;
access-list 104 permit tcp any 210.31.120.0 0.0.0.255 gt 1024
(8)对于 ICMP 的连接检测一般应该是允许的.为些在全局配置模式下设置:
access-list 104 permit icmp any any
(9)对于一些路由协议信息,我们必须接受,否则内部网就连不上 Internet 了.假设路由器
串行口的远端路由器地址为 210.112.27.25,那么:
access-list 104 permit ospf any host 210.110.27.26
access-list 104 permit udp host 210.112.27.25 host 210.112.27.26 eq rip
若把以上访问列表应用到所有外部端口,应在接口模式下设置:
Interface seria10
Ip access-group 104 in
4.防止外部的 ICMP 重定向欺骗
外部的攻击者可以使用 ICMP 生定向技术来对路由器进行重定向,把本应该送到合法目的的
的住处重定向到攻击者那里,从而非法获得信息.对付这种攻击的路由器设置方法为:
在接口模式下设置:
interface acrial0
no ip redirects (模拟器上午此命令)
5.防止外部的资源路由选择欺骗
资源路由选择是使用数据甸路层信息来进行路由选择的.这个技术越过了第三层的路由信
息,为入侵者给内部网的住处包指定一个不正确的路由提供了可能,从而把本应送以内部网