在典型的校園網(wǎng)環(huán)境中，路由器一般處于防火墻的外部，負(fù)責(zé)與Internet的連接。這種拓?fù)浣Y(jié)構(gòu)實(shí)際上是將路由器暴露在校園網(wǎng)安全防線之外，如果路由器本身又未采取適當(dāng)?shù)陌踩婪恫呗裕涂赡艹蔀楣粽甙l(fā)起攻擊的一塊跳板，對(duì)內(nèi)部網(wǎng)絡(luò)安全造成威脅。
　　
　　本文將以Cisco2621路由器為例，詳細(xì)介紹將一臺(tái)路由器配置為堡壘路由器的實(shí)現(xiàn)方法，使之成為校園網(wǎng)抵御外部攻擊的第一道安全屏障。
　　
　　一、基于訪問(wèn)表的安全防范策略
　　1. 防止外部IP地址欺騙
　　
　　外部網(wǎng)絡(luò)的用戶可能會(huì)使用內(nèi)部網(wǎng)的合法IP地址或者回環(huán)地址作為源地址，從而實(shí)現(xiàn)非法訪問(wèn)。針對(duì)此類(lèi)問(wèn)題可建立如下訪問(wèn)列表：
　　
　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any
　　
　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any
　　
　　access-list 101 deny ip 172.16.0.0 0.0.255.255 any
　　
　　! 阻止源地址為私有地址的所有通信流。
　　
　　access-list 101 deny ip 127.0.0.0 0.255.255.255 any
　　
　　! 阻止源地址為回環(huán)地址的所有通信流。
　　
　　access-list 101 deny ip 224.0.0.0 7.255.255.255 any
　　
　　! 阻止源地址為多目的地址的所有通信流。
　　
　　access-list 101 deny ip host 0.0.0.0 any
　　
　　! 阻止沒(méi)有列出源地址的通信流。
　　
　　注：可以在外部接口的向內(nèi)方向使用101過(guò)濾。
　　
　　2. 防止外部的非法探測(cè)
　　
　　非法訪問(wèn)者對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊前，往往會(huì)用ping或其他命令探測(cè)網(wǎng)絡(luò)，所以可以通過(guò)禁止從外部用ping、traceroute等探測(cè)網(wǎng)絡(luò)來(lái)進(jìn)行防范。可建立如下訪問(wèn)列表:
　　
　　access-list 102 deny icmp any any echo
　　
　　! 阻止用ping探測(cè)網(wǎng)絡(luò)。
　　
　　access-list 102 deny icmp any any time-exceeded
　　
　　! 阻止用traceroute探測(cè)網(wǎng)絡(luò)。
　　
　　注：可在外部接口的向外方向使用102過(guò)濾。在這里主要是阻止答復(fù)輸出，不阻止探測(cè)進(jìn)入。
　　
　　3. 保護(hù)路由器不受攻擊
　　
　　路由器一般可以通過(guò)telnet或SNMP訪問(wèn)，應(yīng)該確保Internet上沒(méi)有人能用這些協(xié)議攻擊路由器。假定路由器外部接口serial0的IP為 200.200.200.1，內(nèi)部接口fastethernet0的IP為200.200.100.1。可以生成阻止telnet、SNMP服務(wù)的向內(nèi)過(guò)濾保護(hù)路由器。建立如下訪問(wèn)列表：
　　
　　access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23
　　
　　access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23
　　
　　access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161
　　
　　access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161
　　
　　注: 在外部接口的向內(nèi)方向使用101過(guò)濾。當(dāng)然這會(huì)對(duì)管理員的使用造成一定的不便，這就需要在方便與安全之間做出選擇。
　　
　　4. 阻止對(duì)關(guān)鍵端口的非法訪問(wèn)
　　
　　關(guān)鍵端口可能是內(nèi)部系統(tǒng)使用的端口或者是防火墻本身暴露的端口。對(duì)這些端口的訪問(wèn)應(yīng)該加以限制，否則這些設(shè)備就很容易受到攻擊。建立如下訪問(wèn)列表：
　　
　　access-list 101 deny tcp any any eq 135
　　
　　access-list 101 deny tcp any any eq 137
　　
　　access-list 101 deny tcp any any eq 138
　　
　　access-list 101 deny tcp any any eq 139
　　
　　access-list 101 deny udp any any eq 135
　　
　　access-list 101 deny udp any any eq 137
　　
　　access-list 101 deny udp any any eq 138
　　
　　access-list 101 deny udp any any eq 139
　　
　　5. 對(duì)內(nèi)部網(wǎng)的重要服務(wù)器進(jìn)行訪問(wèn)限制
　　
　　對(duì)于沒(méi)有配備專(zhuān)用防火墻的校園網(wǎng)，采用動(dòng)態(tài)分組過(guò)濾技術(shù)建立對(duì)重要服務(wù)器的訪問(wèn)限制就顯得尤為重要。對(duì)于配備了專(zhuān)用防火墻的校園網(wǎng)，此項(xiàng)任務(wù)可以在防火墻上完成，這樣可以減輕路由器的負(fù)擔(dān)。無(wú)論是基于路由器實(shí)現(xiàn)，還是在防火墻上完成設(shè)置，首先都應(yīng)該制定一套訪問(wèn)規(guī)則。可以考慮建立如下的訪問(wèn)規(guī)則:
　　
　　● 允許外部用戶到Web服務(wù)器的向內(nèi)連接請(qǐng)求。
　　
　　● 允許Web服務(wù)器到外部用戶的向外答復(fù)。
　　
　　● 允許外部SMTP服務(wù)器向內(nèi)部郵件服務(wù)器的向內(nèi)連接請(qǐng)求。
　　
　　● 允許內(nèi)部郵件服務(wù)器向外部SMTP服務(wù)器的向外答復(fù)。
　　
　　● 允許內(nèi)部郵件服務(wù)器向外DNS查詢。
　　
　　● 允許到內(nèi)部郵件服務(wù)器的向內(nèi)的DNS答復(fù)。
　　
　　● 允許內(nèi)部主機(jī)的向外TCP連接。
　　
　　● 允許對(duì)請(qǐng)求主機(jī)的向內(nèi)TCP答復(fù)。
　　
　　其他訪問(wèn)規(guī)則可以根據(jù)各自的實(shí)際情況建立。列出允許的所有通信流后，設(shè)計(jì)訪問(wèn)列表就變得簡(jiǎn)單了。注意應(yīng)將所有向內(nèi)對(duì)話應(yīng)用于路由器外部接口的IN方向，所有向外對(duì)話應(yīng)用于路由器外部接口的OUT方向。
　　
　　二、常見(jiàn)攻擊手段及其對(duì)策
　　1. 防止外部ICMP重定向欺騙
　　
　　攻擊者有時(shí)會(huì)利用ICMP重定向來(lái)對(duì)路由器進(jìn)行重定向，將本應(yīng)送到正確目標(biāo)的信息重定向到它們指定的設(shè)備，從而獲得有用信息。禁止外部用戶使用ICMP重定向的命令如下：
　　
　　interface serial0
　　
　　no ip redirects
　　
　　2. 防止外部源路由欺騙
　　
　　源路由選擇是指使用數(shù)據(jù)鏈路層信息來(lái)為數(shù)據(jù)報(bào)進(jìn)行路由選擇。該技術(shù)跨越了網(wǎng)絡(luò)層的路由信息，使入侵者可以為內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)指定一個(gè)非法的路由，這樣原本應(yīng)該送到合法目的地的數(shù)據(jù)報(bào)就會(huì)被送到入侵者指定的地址。禁止使用源路由的命令如下：
　　
　　no ip source-route
　　
　　3. 防止盜用內(nèi)部IP地址
　　
　　攻擊者可能會(huì)盜用內(nèi)部IP地址進(jìn)行非法訪問(wèn)。針對(duì)這一問(wèn)題，可以利用Cisco路由器的ARP命令將固定IP地址綁定到某一MAC地址之上。具體命令如下：
　　
　　arp 固定IP地址 MAC地址 arpa
　　
　　4. 在源站點(diǎn)防止smurf
　　
　　要在源站點(diǎn)防止smurf，關(guān)鍵是阻止所有的向內(nèi)回顯請(qǐng)求。這就要防止路由器將指向網(wǎng)絡(luò)廣播地址的通信映射到局域網(wǎng)廣播地址。可以在LAN接口方式中輸入如下命令：
　　
　　no ip directed-broadcast
　　
　　三、關(guān)閉路由器上不用的服務(wù)
　　路由器除了可以提供路徑選擇外，它還是一臺(tái)服務(wù)器，可以提供一些有用的服務(wù)。路由器運(yùn)行的這些服務(wù)可能會(huì)成為敵人攻擊的突破口，為了安全起見(jiàn)，最好關(guān)閉這些服務(wù)。
　　
　　通過(guò)以上介紹的各種方法，我們成功地將一臺(tái)普通路由器配置為一臺(tái)堡壘路由器，在沒(méi)有增加任何投入的情況下，提高了整個(gè)園區(qū)網(wǎng)的安全性。但應(yīng)該說(shuō)明的是，堡壘路由器的實(shí)現(xiàn)是以犧牲整個(gè)網(wǎng)絡(luò)的效率為代價(jià)的，可能會(huì)影響到園區(qū)網(wǎng)對(duì)外訪問(wèn)的速度