三、保护网络
3.1防止IP地址欺骗
黑客经常冒充地税局内部网IP地址,获得一定的访问权限。
在省地税局和各地市的WAN Router上配置:
防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)。包发送到某个接口,检查包的IP地址是否与CEF表中到达此IP地址的非常好的路由是从此接口转发,若是,转发,否则,丢弃。
| 以下是引用片段: Router(config-t)#ip cef Router(config-t)#interface e0 Router(config-if)# ip verify unicast reverse-path 101 Router(config-t)#access-list 101 permit ip any any log |
防止IP地址欺骗配置访问列表
防止外部进行对内部进行IP地址:
| 以下是引用片段: Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any Router(config-t)#access-list 190 permit ip any any Router(config-t)#int s4/1/1.1 Router(config-if)# ip access-group 190 in |
| 以下是引用片段: Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any Router(config-t)#int f4/1/0 Router(config-if)# ip access-group 199 in |
