网络设备的种类很多,本文继续介绍路由器中的访问控制功能,您可前往信创致远http://www.dengbao110.com/了解更多内容。
(三)应能根据会话状态信息为数据流提供明确的允许拒绝访问的能力,控制粒度为端口级。
【描述】
路由器作为构建互联安全测评的主要设备,应当道过配置合理的访问控制列表(ACL),为数据流提供明确的允许拒绝访问的能力,从而保扩内部系统的安全。
一般来说,在网终边界路由器上配置访问控制列表对进出安全测评的流量进行过滤流入流量过滤用于过滤掉一些源IP不是公网IP的数据包,同时也用于限制外部对内部网络服务的访问。流出流量过滤用于防止由单位内部机器发出的伪造源IP的攻击数据流。
【检查力法】
在思科路由器中:
1)在特权模式下输入命令 show ip access-list会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
ip access-list extended 111
access-list 111 permit tcp host 10.1. 6.66 any eq 443
access-list 111 deny any any
3)安全测评设备中默认开启了一些服务,有些服务在实际使用中是不需要的,而这些服务本身却可能存在一些安全隐患,因此,需要主动关闭这些服务。查看配置文件是否对如下表中的网络服务进行了安全配置,具体配置方法见表1-1中的“关闭方式”一栏。
在华为路由器中:
1)在特权模式下输入命令 display acl config all会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
acl number 2000
rule deny icmp source any destination any
rule permit tcp source 10.1.2.0 destination 20.3.5.40 destination-port
eq443
rule permit tcp source 10.1.2.0 destination 20.3.4.55 destination-port
interface GigabitEthernet1/1/1
description To xx
duplex full
port access vlan 100
packet-filter inbound ip-group 3000