此文參考思科網(wǎng)絡(luò)安全部分書(shū)箱所作筆記，當(dāng)然此筆記只是二層網(wǎng)絡(luò)安全防范里的一部分，需要根據(jù)自身的實(shí)際環(huán)境回以實(shí)施以保證網(wǎng)絡(luò)安全。

綠春網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、響應(yīng)式網(wǎng)站開(kāi)發(fā)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)成立于2013年到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

MAC***與防范：

• ***：MAC   Address泛洪***，可利用某些工具(如：Ettercap、macof)產(chǎn)生大量MAC Address占滿交換機(jī)MAC Table，導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓

• 防范：1) port   security 端口安全

       

      2) MAC address activity notification　MAC 地址活動(dòng)性通告

       

      3) unknow unicast flooding protection　未知單播泛洪保護(hù)(6509才有此功能)   

STP生成樹(shù)***與防范

• ***：1)人為偽造網(wǎng)橋根(bridge ID)

      2) 利用BPDU泛洪的DoS***(網(wǎng)絡(luò)環(huán)路)

      3) 利用配置BPDU泛洪

      4) 模擬一臺(tái)雙雙宿主機(jī)(Dual-homed)交換機(jī)橋接

• 防范：1) Root   guard(根保護(hù)),確保該端口為指定端口(designated   port)

           

      2) BPDU-guard(BPDU保護(hù))

       

       

      3) BPDU Filtering (BPDU過(guò)濾)

       

      4) Layer 2 PDU rate limiter(第二層的PDU速率限制器)

VLANN***與防范

• ***：利用工具劫持標(biāo)籤Vlan即是TAG vlan。注：native VLAN 上幀是被無(wú)標(biāo)記(untagged)傳播的。工具:Yersinia可實(shí)現(xiàn)cdp、dhcp、dot1q、dtp、hsrp、isl、mpls、stp、vtp等***；

• 防范：1).確保不將native VLAN分配給任何訪問(wèn)端口

      2).從Trunk中清除native VALN(不建議使用)

      3).強(qiáng)制Trunk上所有的流量都攜帶一個(gè)tag

      

DHCP***與防范

• 說(shuō)明：DHCP客戶端偵聽(tīng)數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol, UDP)的68 Port,而DHCP服務(wù)器偵聽(tīng)UDP的67   Port；

• ***：1) 耗盡DHCP的地址池范圍(DHCP scope exhaustion);

      2) 安裝一臺(tái)非法(rouge)DHCP服務(wù)器

•  防范：利用DHCP　snooping 監(jiān)視并限制DHCP操作:

      a. 端口級(jí)DHCP消息速率限制；

      b. DHCP消息確認(rèn)(validation)

      c. Option 82的插入和移除

     

       ** ip dhcp snooping informationoption -->寫(xiě)入option82

      d. 防止通過(guò)DHCP發(fā)起的DoS***

• DHCP　Snooping配置如下：

   Switch(config)#ip dhcp snooping   //打開(kāi)DHCP Snooping功能

   Switch(config)#ip dhcp snooping vlan 10   //設(shè)置DHCP Snooping功能將作用于哪些VLAN

   Switch(config)#ip dhcp snooping verify mac-address//檢測(cè)非信任端口收到的DHCP請(qǐng)求報(bào)文的源MAC和CHADDR字段是否相同，以防止DHCP耗竭***，該功能默認(rèn)即為開(kāi)啟

   Switch(config-if)#ip dhcp snooping trust   //配置接口為DHCP監(jiān)聽(tīng)特性的信任接口，所有接口默認(rèn)為非信任接口

   Switch(config-if)#ip dhcp snooping limit rate 15  //限制非信任端口的DHCP報(bào)文速率為每秒15個(gè)包（默認(rèn)即為每秒15個(gè)包）如果不配該語(yǔ)句，則show ip dhcp snooping的結(jié)果里將不列出沒(méi)有該語(yǔ)句的端口，可選速率范圍為1-2048

建議：在配置了端口的DHCP報(bào)文限速之后，最好配置以下兩條命令
   Switch(config)#errdisable recovery cause dhcp-rate-limit//使由于DHCP報(bào)文限速原因而被禁用的端口能自動(dòng)從err-disable狀態(tài)恢復(fù)

   Switch(config)#errdisable recovery interval 30 //設(shè)置恢復(fù)時(shí)間；端口被置為err-disable狀態(tài)后，經(jīng)過(guò)30秒時(shí)間才能恢復(fù)

   Switch(config)#ip dhcp snooping information option //設(shè)置交換機(jī)是否為非信任端口收到的DHCP報(bào)文插入Option 82，默認(rèn)即為開(kāi)啟狀態(tài)

   Switch(config)#ip dhcp snooping information option allow-untrusted //設(shè)置匯聚交換機(jī)將接收從非信任端口收到的接入交換機(jī)發(fā)來(lái)的帶有選項(xiàng)82的DHCP報(bào)文

   Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131interface fa0/2 expiry 692000  //特權(quán)模式命令；手工添加一條DHCP監(jiān)聽(tīng)綁定條目；expiry為時(shí)間值，即為監(jiān)聽(tīng)綁定表中的lease（租期）

   witch(config)#ip dhcp snooping database flash:dhcp_snooping.db//將DHCP監(jiān)聽(tīng)綁定表保存在flash中，文件名為dhcp_snooping.db

   Switch(config)#ip dhcpsnooping database tftp://10.133.131.142/Switch/dhcp_snooping.db //將DHCP監(jiān)聽(tīng)綁定表保存到tftp服務(wù)器；192.168.2.5為tftp服務(wù)器地址，必須事先確定可達(dá)。URL中的Switch是tftp服務(wù)器下一個(gè)文件夾；保存后的文件名為dhcp_snooping.db，當(dāng)更改保存位置后會(huì)立即執(zhí)行“寫(xiě)”操作。

   Switch(config)#ip dhcp snooping database write-delay 30//指DHCP監(jiān)聽(tīng)綁定表發(fā)生更新后，等待30秒，再寫(xiě)入文件，默認(rèn)為300秒；可選范圍為15-86400秒

   Switch(config)#ip dhcp snooping database timeout 60//指DHCP監(jiān)聽(tīng)綁定表嘗試寫(xiě)入操作失敗后，重新嘗試寫(xiě)入操作，直到60秒后停止嘗試。默認(rèn)為300秒；可選范圍為0-86400秒

說(shuō)明：實(shí)際上當(dāng)DHCP監(jiān)聽(tīng)綁定表發(fā)生改變時(shí)會(huì)先等待write-delay的時(shí)間，然后執(zhí)行寫(xiě)入操作，如果寫(xiě)入操作失敗（比如tftp服務(wù)器不可達(dá)），接著就等待timeout的時(shí)間，在此時(shí)間段內(nèi)不斷重試。在timeout時(shí)間過(guò)后，停止寫(xiě)入嘗試。但由于監(jiān)聽(tīng)綁定表已經(jīng)發(fā)生了改變，因此重新開(kāi)始等待write-delay時(shí)間執(zhí)行寫(xiě)入操作……不斷循環(huán)，直到寫(xiě)入操作成功。

   Switch#renew ip dhcp snooping database flash:dhcp_snooping.db//特權(quán)級(jí)命令；立即從保存好的數(shù)據(jù)庫(kù)文件中讀取DHCP監(jiān)聽(tīng)綁定表。

• 顯示DHCP Snooping的狀態(tài)

    Switch#show ip dhcpsnooping   //顯示當(dāng)前DHCP監(jiān)聽(tīng)的各選項(xiàng)和各端口的配置情況

   Switch#show ip dhcp snooping binding//顯示當(dāng)前的DHCP監(jiān)聽(tīng)綁定表

   Switch#show ip dhcp snoopingdatabase //顯示DHCP監(jiān)聽(tīng)綁定數(shù)據(jù)庫(kù)的相關(guān)信息
   Switch#show ip dhcp snoopingstatistics//顯示DHCP監(jiān)聽(tīng)的工作統(tǒng)計(jì)

   Switch#clear ip dhcp snoopingbinding //清除DHCP監(jiān)聽(tīng)綁定表；注意：本命令無(wú)法對(duì)單一條目進(jìn)行清除，只能清除所有條目

   Switch#clear ip dhcp snoopingdatabase statistics//清空DHCP監(jiān)聽(tīng)綁定數(shù)據(jù)庫(kù)的計(jì)數(shù)器

   Switch#clear ip dhcp snoopingstatistics  //清空DHCP監(jiān)聽(tīng)的工作統(tǒng)計(jì)計(jì)數(shù)器

ARP***與防范

• ARP的風(fēng)險(xiǎn)分析:缺乏認(rèn)證、信息泄露、可用性問(wèn)題

• ***：ARP spoofing(ARP欺騙)，***工具:dsniff、ettercap、cain

• 防范：

  1) 增加三層交換機(jī)。借助于從DHCP學(xué)到的正規(guī)(ip,mac)映射，丟棄所有欺騙的ARP應(yīng)答數(shù)據(jù)包

 2) 主機(jī)，可以忽略免費(fèi)ARP數(shù)據(jù)包

   3) ***檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)?？梢员３炙?ip,mac)映射的狀態(tài)，并能檢測(cè)是否有人企圖改變現(xiàn)有映射　

   ** Cisco IOS啟用DAI

   

  **Cisco IOS中高級(jí)的DAI配置

   

PoE以太網(wǎng)***與防范

• PoE檢測(cè)機(jī)制：

  1).Cisco標(biāo)準(zhǔn)，從5類線的一對(duì)雙絞線上發(fā)送一個(gè)交流電(AC)信號(hào)并檢查該電流是否能夠從另一對(duì)返回。

    2).IEEE 802.3af。從5類線的兩對(duì)雙絞線上以一個(gè)直流(DC)電壓，并檢查是否有電流流動(dòng)。

• PoE風(fēng)險(xiǎn)分析：

  1). 電能損耗(Power Gobbling)。未經(jīng)授權(quán)的設(shè)備連接至交換機(jī)上請(qǐng)求大量的電能，以至于授權(quán)PES無(wú)電可用

    2). 改變功率(Power Changing)

    3). 燒毀(Burning)。***者欺騙交換機(jī)的供電檢測(cè)機(jī)制，導(dǎo)致交換機(jī)向不需要通過(guò)5類線供電的末端工作站提供電能

    4). 關(guān)閉(shutting down) 如果***者關(guān)閉交換機(jī)或切斷電纜，PES將無(wú)法收到電源并被關(guān)閉

• 防范：1) 防疫偷電行為

   　

    **　設(shè)備端口為7W(7000mw)

    

HSRP***與防范

• HSRP說(shuō)明：HSRP運(yùn)行在UDP之上，IPV4的端口號(hào)為1985，IPv6的端口號(hào)為2029。HSRP數(shù)據(jù)包被發(fā)送至多播地址224.0.0.2 或是224.0.0.102，TTL值被設(shè)定為1。

• HSRP***：

        1).DoS***，工具IRPAS軟件包中的HSRP工具，命令如下：

        hsrp -d 224.0.0.2 -v 192.168.0.8 -a cisco -g-i eth0 -S 192.168.0.66

        2).中間人***

        3).信息泄露

• HSRP防范：1).強(qiáng)制認(rèn)證，使用MD5　HMAC驗(yàn)證所有的HSRP消息

        2).使用ACL過(guò)濾非源自附連接主機(jī)發(fā)送HSRP消息

   

VRRP***與防范

• VRRP說(shuō)明：VRRP運(yùn)行在IP協(xié)議上，端口號(hào)為112.VRRP數(shù)據(jù)包被發(fā)往多播地址224.0.0.18，TTL值為225。

• VRRP***：1).中間人***(MIMT)，所有末端工作站將數(shù)據(jù)包發(fā)送給***者而非真正的路由器

        2).DoS***

• VRRP防范：1).使用強(qiáng)制認(rèn)證，使用MD5驗(yàn)證VRRP消息

   

        2).使用ACL過(guò)濾非源自附連接主機(jī)發(fā)送的VRRP欺騙

   

CDP***與防范

• CDP說(shuō)明：CDP并非運(yùn)行在IP協(xié)議之上，而是直接在數(shù)據(jù)鏈路層上運(yùn)行。

• CDP***:1).軟件或是系統(tǒng)BUG

       2).輔助(Auxiliary) VLAN,***者可獲悉IP電話所使用的VLAN

       3).CDP緩存溢出

       4).占用CDP緩存

   

• CDP防范：1).檢查系統(tǒng)BUG并升級(jí)

        2).關(guān)閉CDP

交換機(jī)三種平面

• 數(shù)據(jù)平面：數(shù)據(jù)平面完成數(shù)據(jù)包轉(zhuǎn)發(fā)。

• 控制平面：1)地址解析協(xié)議(ARP)數(shù)據(jù)包

        2)Cisco 發(fā)現(xiàn)協(xié)議(CDP)數(shù)據(jù)包

        3)VLAN Trunk協(xié)議(VTP) /　生成樹(shù)協(xié)議(STP)數(shù)據(jù)包

        4)路由協(xié)議信息

• 管理平臺(tái):管理平面負(fù)責(zé)對(duì)交換機(jī)的轉(zhuǎn)發(fā)行為進(jìn)行控制/配置

• ***交換機(jī)：

  1) 大多數(shù)數(shù)據(jù)平面流量?jī)H影響交換機(jī)的fabric和以太網(wǎng)控制器

    2) 控制平面流量由一個(gè)以太陽(yáng)網(wǎng)控制器傳入，并經(jīng)一條交換機(jī)通首進(jìn)入中央CPU

3) 管制平面流量與控制平面流量所經(jīng)過(guò)經(jīng)歷的路徑相同

• 防范交換機(jī)***：

  1) 盡量使用帶外管理　

2) 僅接受來(lái)自特定子網(wǎng)或主機(jī)的流量

    3) 對(duì)所有管理流量加密(SSH和SNMP V3)

     4) 使用認(rèn)證、授權(quán)和計(jì)賬(AAA)

     5) 啟用syslog / SNMP Trap消息監(jiān)控所有管理平面的行為

控制平面的監(jiān)管

• 駐留于控制平面的數(shù)據(jù):

    1) 二層處理(L2   Processing)。一臺(tái)交換機(jī)必須處理和響應(yīng)以下數(shù)據(jù)包STP、PVST、LACP、PAgP、802.1X、CDP、DTP、UDLD、VTP以及keepalive數(shù)據(jù)包

    2) Internet管理組管理協(xié)議(IGMP)

    3) Internet控制消息協(xié)議(ICMP)

    4) 三層處理(L3 Processing)

    5) 管理流量

• 保護(hù)交換機(jī)的控制平面:

  1)基于硬件的CoPP(Hardware-based   CoPP)，針對(duì)不必要的流量，運(yùn)用底層的ASIC特性將丟棄，或?qū)ζ鋵?shí)行速率限制(rate-limit)，C6509具備硬件的CoPP，使用mls rate-limit命令來(lái)改變速率限制器的值。如為了限制因TTL到期而被丟棄的每秒數(shù)據(jù)包的量；

C6509(config)#mls rate-limit all ttl-failure 10

   * C6509上啟動(dòng)多層交換(MLS) QoS特性，就可以在中央策略特性卡(Policy Feature Card,PFC)以及支持分布式轉(zhuǎn)發(fā)的線卡      上啟用基本硬件的CoPP；

C6509(config)#mls qos

    2)基于軟件的CoPP(Software-basedCoPP，針對(duì)不必要的流量，使用中央CPU將其丟棄或?qū)ζ鋵?shí)行速率限制

      a. 關(guān)鍵流量等級(jí)(critical)

      b. 重要流量等級(jí)(important)

      c. 正常(normal)

      d. 不必要流量特級(jí)

              e.默認(rèn)流量等級(jí)

利用交換機(jī)發(fā)現(xiàn)數(shù)據(jù)平面的拒絕服務(wù)***(DoS)

• 使用NetFlow檢測(cè)DoS

  

• 利用RMON(Remote Monitoring,遠(yuǎn)程監(jiān)控)保護(hù)網(wǎng)絡(luò)

線速訪問(wèn)控制列表保護(hù)網(wǎng)絡(luò)

• 過(guò)濾Bogons網(wǎng)段 ，bogon網(wǎng)段不會(huì)出現(xiàn)在Internet上. 包括下列地址：

    1)RFC 1918定義的私有地址

    2)Loopback 口地址(127.0.0.0/8).

    3)IANA 保留的地址.

    4)多播地址(224.0.0.0/4).

    5)學(xué)術(shù)研究用地址 (240.0.0.0/4).

    6)DHCP 本地私有地址 (169.254.0.0/16). This is what your PC uses if it cannot find aDHCP server from which to acquire its addressing information.

•  這些地址不在互聯(lián)網(wǎng)上的路由表中出現(xiàn)，***經(jīng)常使用這些地址用來(lái)發(fā)起DOS***，或是IP欺騙等，可以使用下面的方法來(lái)堵塞這些地址：

   1)ACL filtering

   2)BGP prefix filtering

   3)Black hole routing

   4)Route policy filtering with route maps

在Internet的進(jìn)口處啟用ACL過(guò)濾Bogons

Router(config)# ipaccess-list extended ingress-filter

Router(config-ext-nacl)#remark Unassigned IANA addresses //IANA未分配的地址

Router(config-ext-nacl)#deny ip 1.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 2.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 5.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 7.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 23.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 27.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 31.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 36.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 37.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 39.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 41.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 42.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 49.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 50.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 58.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 59.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 60.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 70.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 71.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 72.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 73.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 74.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 75.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 76.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 77.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 78.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 79.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 83.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 84.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 85.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 86.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 87.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 88.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 89.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 90.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 91.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 92.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 93.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 94.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 95.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 96.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 97.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 98.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 99.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 100.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 101.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 102.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 103.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 104.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 105.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 106.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 107.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 108.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 109.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 110.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 111.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 112.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 113.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 114.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 115.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 116.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 117.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 118.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 119.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 120.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 121.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 122.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 123.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 124.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 125.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 126.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 197.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 201.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#remark RFC 1918 private addresses //RFC1918定義的私有地址

Router(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any

Router(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any

Router(config-ext-nacl)#remark Other bogons //其他bogons地址

Router(config-ext-nacl)#deny ip 224.0.0.0 15.255.255.255 any //組播地址

Router(config-ext-nacl)#deny ip 240.0.0.0 15.255.255.255 any //學(xué)術(shù)研究地址

Router(config-ext-nacl)#deny ip 0.0.0.0 0.255.255.255 any

Router(config-ext-nacl)#deny ip 169.254.0.0 0.0.255.255 any //DHCP 本地私有地址

Router(config-ext-nacl)#deny ip 192.0.2.0 0.0.0.255 any //測(cè)試地址

Router(config-ext-nacl)#deny ip 127.0.0.0 0.255.255.255 any //回環(huán)口地址

Router(config-ext-nacl)#remark Internal networks //內(nèi)部網(wǎng)段的地址

Router(config-ext-nacl)#deny ip 200.1.1.0 0.0.0.255 any //內(nèi)部服務(wù)器網(wǎng)段的地址

Router(config-ext-nacl)#remark Allow Internet to specific services

Router(config-ext-nacl)#remark permit

Router(config-ext-nacl)#deny ip any any

Router(config-ext-nacl)#exit

Router(config)#interface ethernet1

Router(config-if)# ipaccess-group ingress-filter in 在WAN口的IN方向上應(yīng)用

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前標(biāo)題：二層網(wǎng)絡(luò)安全防范筆記-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)鏈接：http://weahome.cn/article/decsjo.html