CiscoIOS阻止外向IP地址欺骗实例

之前，我们讨论了从传入的互联网连接中过滤出欺骗性流量的重要性。然而，传入的欺骗不仅仅是一种威胁。事实上，防止外部欺骗同样重要。
这一次，我们来看看如何保护系统免受来自其他方向的威胁——防止欺骗性IP数据包和其他有害通信从本地网络发送到互联网。你不希望你的网络成为恶意活动的庇护所吧？
还不错。在贵公司的网络上没有发现相关的恶意活动。但这并不意味着未来不会发生。下面是一些你想阻止的常见恶意行为:
◆面向互联网的向外IP地址欺骗数据
◆用单台计算机作为SMTP服务器直接发送到互联网的电子邮件
◆来自公司内部，利用电子邮件或其他端口作为传输手段的病毒或蠕虫
◆黑掉你的互联网路由器
防止向外IP地址欺骗
正如我在上一篇文章中提到的，一些指定的IP地址是公司应该避免在互联网上进行通信的。
10 . 0 . 0 . 0/8
172 . 16 . 0 . 0/12
192 . 168 . 0 . 0/16
127 . 0 . 0/8[因此，您不仅要阻止源地址在上述IP地址范围内的来自互联网的通信，还要阻止该范围内的IP通信发送到互联网。
为此，您应该首先在路由器上设置出口ACL(访问控制列表)过滤器，并将此ACL应用到Internet接口。表A提供了一个例子。
它在指定的IP地址范围内阻止来自公司网络的任何通信。正如我在关于内向IP欺骗的文章中提到的，保护网络免受IP地址欺骗的另一种方法是反向路径转发或IP验证。要阻止传出通信，您将使用路由器的快速以太网0/0接口，而不是串行接口。
除了阻止来自公司网络的欺诈性IP地址数据包，您还应该采取许多其他步骤来防止恶意用户使用您的网络。
禁止单台PC使用SMTP直接向互联网发送电子邮件
你不希望有人使用公司的网络发送垃圾邮件。为了阻止这种情况，防火墙不应该允许互联网上的计算机与互联网上的任何端口直接通信。
换句话说，您应该控制哪些通信可以直接从您的Internet连接发送。假设您的公司有一个内部电子邮件服务器，所有SMTP通信都应该来自这个内部服务器，而不是来自intranet上的任何其他计算机。
你可以通过让防火墙(至少要用ACL)只允许指定的目标端口发送到互联网来保证我刚才说的。例如，大多数公司只需要允许所有计算机使用互联网上的80端口和443端口。
防止病毒或蠕虫在公司内部传播
通过控制局域网上的客户端用来与互联网通信的端口，您有许多技巧来阻止病毒和蠕虫的传播。但是，仅仅限制端口是不够的，因为恶意用户经常可以找到绕过端口限制的技巧。
为了更深入地防止病毒和蠕虫，可以考虑使用一些UTM设备，如Cisco的ASA或Fortinet。由于它们被贴上了“反X”设备的标签，所以两者都可以阻挡大量的安全威胁。
停止对您的互联网路由器的攻击
为了保护您的路由器，请确保您已经在Cisco路由器上配置了SSH，设置了ACL，定义了管理控制台的源IP地址，并运行Cisco的SDM(安全设备管理器)安全审计功能，以确保您不会遗漏任何常见的安全漏洞。
记住:保护您的网络免受来自互联网的攻击确实很重要，但防止这些攻击者利用您的网络做坏事也同样重要。这四个技巧可以在这一点上给你更多的保证。