预防黑客对防火墙发掘方法之设定路由访存表

作者:课课家教育更新于： 2017-05-03 17:43:14

　　防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。在这篇教程里面，小编就主要和大家简单的介绍一下：预防黑客对防火墙发掘方法之设定路由访存表。

　　想必不需要小编多说，大家都应该知道一点，那就是发现防火墙的方法有路径追踪以及端口扫描这两种。

　　一、端口扫描

　　不知道大家是否知道其实大多数的防火墙都是带有其自身标识的，就比如说CHECKPOINT里面的FIREWALL-1缺省在256、257、258号的TCP端口进行监听操作；

　　在MICROSOFT里面的PROXYSERVER一般情况下都是在1080、1745号TCP端口上面进行监听操作的。

　　正正就是因为有非常多的IDS产品缺省配置成只检测大范围的没有头脑的端口扫描，由此可见，真正聪明的攻击者是绝对不会选择采用这一种比较卤莽的地毯扫描方法。然而，他们都会选择使用比如说NMAP这一种类型的扫描工具进行有选择的扫描，从而就能够躲过配置并不是特别精细的IDS防护，具体的示范例子如下所示：command: nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254

　　注意事项：在这里大家都需要注意一点，那就是因为有非常多的防火墙会不对ICMPPING请求作出相对应的响应，所以上面那一行命令里面的-P0这一个参数主要的作用就是为了防止发送ICMP包，从而暴露出攻击倾向的。

　　有人就会问小编，我们应该怎样才可以进行预防呢？其实方法相对来说，还是比较简单的。具体的方法就是先配置一下CISCO路由器里面的ACL（访问控制列表，这是路由器和交换机接口的指令列表，用来控制端口进出的数据包，ACL适用于所有的被路由协议）表，从而达到阻塞相应的监听端口的目的。具体的命令行如下图所示：

　　二、路径追踪

　　在UNIX里面的traceroute,以及NT的tracert.exe来追踪到达主机前的最后一跳，它有非常很大的可能性是为防火墙的。

　　假如说目标服务器以及本地主机这两者之间的路由器对于TTL已过期分组作出相对应的响应，那么就会发现防火墙是比较容易的。然而，有非常多路由器、防火墙设置成不返送ICMPTTL已过期分组，探测包往往就会在到达目标前几跳就不再向大家显示任何关于路径的信息内容了。

　　那么问题就来了？我们应该怎样进行预防呢？具体的预防方法如下所示：

　　主要就是因为整一个tracepath上面可能经过非常多ISP提供的网路，这一些ROUTERE的配置是在大家的控制之外的，因此大家都应该尽自己最大的可能去控制大家的边界路由器对于ICMPTTL响应的配置。

　　就比如说下面这一个示范例子：Access-list 101 deny icmp any any 1 0 ! ttl-exceeded

　　把边界路由器配置成为接收到TTL值为0、1的分组的时候不做任何的响应。

　　小编结语：

　　今天的考试认证教程，大致介绍如此，希望能助您在学习思科认证的道路上一臂之力，能让你更稳更好更快的走在学习Cisco认证的路上。如果你还是与犹未尽，可以进入我们的官网课课家教育，了解更多的Cisco认证入门教程。