当前位置：文档库 › cisco防火墙防攻击详解

cisco防火墙防攻击详解

cisco防火墙防攻击详解

防火墙inside 端（内网）和outside端（外网）
定义内网ACL：
access-list inside-acl extended deny udp any any eq tftp
access-list inside-acl extended deny tcp any any eq 135
access-list inside-acl extended deny udp any any eq 135
access-list inside-acl extended deny tcp any any eq 137
access-list inside-acl extended deny udp any any eq netbios-ns
access-list inside-acl extended deny tcp any any eq 138
access-list inside-acl extended deny udp any any eq netbios-dgm
access-list inside-acl extended deny tcp any any eq 139
access-list inside-acl extended deny udp any any eq 139
access-list inside-acl extended deny tcp any any eq 445
access-list inside-acl extended deny tcp any any eq 593
access-list inside-acl extended deny tcp any any eq 4444
access-list inside-acl extended permit ip any any

定义外网ACL：（默认deny any any）
access-list outside-acl extended permit tcp any host eq www
access-list outside-acl extended permit tcp any host eq 8080
access-list outside-acl extended permit tcp any host eq https
access-list outside-acl extended permit tcp any eq pop3
access-list outside-acl extended permit tcp any eq smtp
access-list outside-acl extended permit tcp any host eq domain
access-list outside-acl extended permit udp any host eq domain
access-list outside-acl extended permit tcp any host eq 3389
access-list outside-acl extended permit tcp any host eq 6129
access-list outside-acl extended permit tcp any host eq lotusnotes

绑定ACL到接口上
access-group outside-acl in interface outside
access-group inside-acl in interface inside

二、配置说明
1.内网防攻击，关闭一些不常用的而且容易受攻击的端口如：tftp、135、137、138、139、593、4444端口。

135 端口：运行DCE RPC end- point mapper为DCOM服务。使用DCOM和或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。攻击者扫描这个端口是为了找到诸如：这个机器上运行Exchange Server吗？是什么版本？这个端口被用于一些DoS攻击、Snork攻击。典型的“冲击波”病毒就是利用这个端口的漏洞攻击的。　

137端口：主要作用是在局域网中提供计算机的名字或IP地址查询服务，一般安装了NetBIOS协议后，该端口会自动处于开放状态。攻击者向该地址的137端口发送一个连接请求时，就可能获得目标主机的相关名称信息。例如目标主机的计算机名称，注册该目标主机的用户信息，目标主机本次开机、关机时间等。此外攻击者还能知道目标主机是否是作为文件服务器或主域控制器来使用。
：

以下内容需要回复才能看到
138端口：攻击者要是与目标主机的138端口建立连接请求的话，就能轻松获得目标主机所处的局域网网络名称以及目标主机的

计算机名称。有了计算机名，其对应的IP地址也就能轻松获得。如此一来，就为攻击者进一步攻击系统带来了便利。

139端口：该端口被用于Windows“文件和打印机共享”和SAMBA。一旦被攻击者利用的话，就能成为一个危害极大的安全漏洞。因为攻击者要是与目标主机的139端口建立连接的话，就很有可能浏览到指定网段内所有工作站中的全部共享信息，甚至可以对目标主机中的共享文件夹进行各种编辑、删除操作。

445端口：该端口基于CIFS协议的，在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。它也是提供局域网中文件或打印机共享服务。攻击者与445端口建立请求连接，也能获得指定局域网内的各种共享信息。

593端口：RPC over HTTP，与135端口一样。会Dos攻击、蠕虫

4444端口： krb524,是msblast（冲击波）蠕虫的攻击端口。

2.防外网攻击，默认关闭所有端口，定义ACL的时候根据应用需求，开启相应的端口。
常见要使用的端口有,tcp 80/8080, tcp 443, tcp smtp, tcp pop3 ,tcp/udp domain, , tcp 3389,tcp 6129,tcp lotusnotes等常用端口,