使用Cisco IOS来阻止外向IP欺骗

archer05

　　以前，我们讨论了从入向Internet连接中将欺骗通信过滤掉的重要性但是，入向欺骗并不只是唯一的威胁。实际上，阻止出向欺骗也是同样的重要。
　　这一次，让我们来看看如何保护系统免受来自其他方向的威胁——阻止欺骗性IP数据包，以及其他有害通讯从本地的网络发往Internet.你可不希望你的网络成为一个恶意活动的庇护所，对吧？
　　还不错，在你公司的网络上，并没有发现任何有关的恶意活动。但是这不意味着它未来不会发生。下面是一些你希望阻止的常见恶意行为：
　　◆面向Internet的朝外IP欺骗数据
　　◆以单台电脑作为SMTP服务器，直接发往互联网的电子邮件
　　◆从公司内部发出的，以电子邮件或者其他端口作为传播手段的病毒或者蠕虫
　　◆对你的互联网路由器发动的******
　　阻止外向IP地址欺骗
　　正如我在先前文章中提到的，有些指定的IP地址，公司应当避免将其用于在Internent上的通讯。
　　10.0.0.0/8
　　172.16.0.0/12
　　192.168.0.0/16
　　127.0.0.0/8
　　224.0.0.0/3
　　169.254.0.0/16
　　240.0.0.0/4
　　如果有通讯使用了上述IP地址的话，那么十有八九就是虚假的，并且是恶意的。所以你不仅要阻止来自互联网的，源地址属于上述这些IP地址范围内的通信，同时也要阻止这个范围内的IP通信发往互联网。
　　要做到这一点，首先应当在路由器上建立一个出口ACL（存取权限控制列表）过滤器，并对通往互联网的接口应用该ACL.表格A提供了一个示例。
　　它阻止了任何来自公司网络中，指定IP地址范围内的通信。正如我在关于内向IP欺骗文章中所提到的，要想保护网路免遭IP地址欺骗，另一个办法就是反向路径转发或者是IP校验。要想阻挡外向通讯，你将使用路由器的快速以太0/0接口，而不是串行接口。
　　除了阻止来自公司网络中的欺骗性IP地址数据包之外，还有很多其他步骤你也应当采取，以防止恶意用户利用你的网络。
　　禁止单台PC使用SMTP向互联网直接发送电子邮件
　　你可不希望有人利用公司的网络发送垃圾信。要想阻止这个，你的防火墙应当不允许网上的电脑直接和互联网的任何端口直接通信。
　　换句话说，你应当控制何种通讯可以直接从你的互联网连接上发送出去。假设你的公司有一台内部电子邮件服务器，所有的SMTP通讯都应当来自于这台内部服务器，而不是来自于其他任何一台内部网上的电脑。
　　你可以通过让防火墙（起码也该使用ACL）仅允许指定目标端口发往Internet，从而保证我说刚才说到的这一点。举例来说，绝大多数公司仅需允许所有电脑使用互联网上的80端口，以及443端口。
　　防止来自公司内部的病毒或者蠕虫向外传播
　　通过控制局域网上客户端用于和互联网进行通讯的端口，你有很多方法可以阻止病毒和蠕虫的传播。但是，仅仅限制了端口还不够，因为恶意用户常常可以找到方法绕过端口限制。
　　要想更深入的阻止病毒和蠕虫，可以考虑使用一些UTM设备，比如Cisco的ASA或者Fortinet.既然标称为“anti-X”设备，这两者都可以阻挡大量的安全威胁。
　　阻止对你的互联网路由器的***
　　要保护你的路由器，就要确保你已经在你的Cisco路由器上配置了SSH，设置了一个ACL，定义了你的管理控制台的源IP地址，并运行了 Cisco的SDM（安全设备管理器，Security Device Manager）安全审核功能，以确保你不会漏过任何一个常见的安全漏洞。
　　要记住：保证你的网络免受来自互联网上***的确重要，但是阻止这些***者利用你的网络做坏事也是同样的重要。这四个方法可以让你在这一点上获得更多的保证。