Cisco IOS阻止外向IP欺騙的步驟如下

你不希望你的網絡成為一個惡意活動的庇護所吧？在你公司的網絡上，可能并沒有發(fā)現(xiàn)任何有關的惡意活動。但是 這不意味著它未來不會發(fā)生。下面是一些你希望阻止的常見惡意行為：

面向Internet的朝外IP欺騙數(shù)據(jù)

以單臺電腦作為SMTP服務器，直接發(fā)往互聯(lián)網的電子郵件

從公司內部發(fā)出的，以電子郵件或者其他端口作為傳播手段的病毒或者蠕蟲

對你的互聯(lián)網路由器發(fā)動的黑客攻擊

阻止外向IP地址欺騙

正如我在先前文章中提到的，有些指定的IP地址，公司應當避免將其用于在Internent上的通訊。

10.0.0.0/8  
 
172.16.0.0/12  
 
192.168.0.0/16  
 
127.0.0.0/8  
 
224.0.0.0/3  
 
169.254.0.0/16  
 
240.0.0.0/4 

如果有通訊使用了上述IP地址的話，那么十有八九就是虛假的，并且是惡意的。所以你不僅要阻止來自互聯(lián)網的，源地址屬于上述這些IP地址范圍內的通信，同時也要阻止這個范圍內的IP通信發(fā)往互聯(lián)網。

要做到這一點，首先應當在路由器上建立一個出口ACL（存取權限控制列表）過濾器，并對通往互聯(lián)網的接口應用該ACL.表格A提供了一個示例。

它阻止了任何來自公司網絡中，指定IP地址范圍內的通信。正如我在關于內向IP欺騙文章中所提到的，要想保護網路免遭IP地址欺騙，另一個辦法就是反向路徑轉發(fā)或者是IP校驗。要想阻擋外向通訊，你將使用路由器的快速以太0/0接口，而不是串行接口。

除了阻止來自公司網絡中的欺騙性IP地址數(shù)據(jù)包之外，還有很多其他步驟你也應當采取，以防止惡意用戶利用你的網絡。

禁止單臺PC使用SMTP向互聯(lián)網直接發(fā)送電子郵件

你可不希望有人利用公司的網絡發(fā)送垃圾信。要想阻止這個，你的防火墻應當不允許網上的電腦直接和互聯(lián)網的任何端口直接通信。

換句話說，你應當控制何種通訊可以直接從你的互聯(lián)網連接上發(fā)送出去。假設你的公司有一臺內部電子郵件服務器，所有的SMTP通訊都應當來自于這臺內部服務器，而不是來自于其他任何一臺內部網上的電腦。

你可以通過讓防火墻（起碼也該使用ACL）僅允許指定目標端口發(fā)往Internet，從而保證我說剛才說到的這一點。舉例來說，絕大多數(shù)公司僅需允許所有電腦使用互聯(lián)網上的80端口，以及443端口。

防止來自公司內部的病毒或者蠕蟲向外傳播

通過控制局域網上客戶端用于和互聯(lián)網進行通訊的端口，你有很多方法可以阻止病毒和蠕蟲的傳播。但是，僅僅限制了端口還不夠，因為惡意用戶常?？梢哉业椒椒ɡ@過端口限制。

要想更深入的阻止病毒和蠕蟲，可以考慮使用一些UTM設備，比如Cisco的ASA或者Fortinet.既然標稱為“anti-X”設備，這兩者都可以阻擋大量的安全威脅。

阻止對你的互聯(lián)網路由器的攻擊

要保護你的路由器，就要確保你已經在你的Cisco路由器上配置了SSH，設置了一個ACL，定義了你的管理控制臺的源IP地址，并運行了 Cisco的SDM（安全設備管理器，Security Device Manager）安全審核功能，以確保你不會漏過任何一個常見的安全漏洞。

要記住：保證你的網絡免受來自互聯(lián)網上攻擊的確重要，但是阻止這些攻擊者利用你的網絡做壞事也是同樣的重要。這四個方法可以讓你在這一點上獲得更多的保證。

Cisco IOS阻止外向IP欺騙的敘述就結束了，你學會了，只要按照以上所述的內容操作，相信你能實現(xiàn)你預期的結果。

【編輯推薦】

1. 網管員必備：Cisco交換機QOS配置過程
2. 網絡管理員必備：cisco設備配置
3. Juniper和Cisco基于云的網絡實驗室
4. cisco路由器之關閉一些不必要的服務 上篇
5. 思科基礎知識：管理Cisco互聯(lián)網絡（1）