WEB开发网
开发学院网络安全安全技术 思科路由器防御DDOS 阅读

思科路由器防御DDOS

 2008-09-04 13:20:18 来源:WEB开发网   
核心提示: 3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文参考以下例子:{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络} ISP端边界路由器应该只接受源地址属于客户端网络的通信,思科路由器防御DDOS(2),而客户端网络则应该只接受源地址未被客户

3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文

参考以下例子:

{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络}

ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:

access-list 190 permit ip {客户端网络} {客户端网络掩码} any

access-list 190 deny ip any any [log]

interface {内部网络接口} {网络接口号}

ip access-group 190 in

以下是客户端边界路由器的ACL例子:

access-list 187 deny ip {客户端网络} {客户端网络掩码} any

access-list 187 permit ip any any

access-list 188 permit ip {客户端网络} {客户端网络掩码} any

access-list 188 deny ip any any

interface {外部网络接口} {网络接口号}

ip access-group 187 in

ip access-group 188 out

假如打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。

4、使用CAR(Control Access Rate)限制ICMP数据包流量速率

参考以下例子:

interface xy

rate-limit output access-group 2020 3000000 512000 786000 conform-action

transmit exceed-action drop

access-list 2020 permit icmp any any echo-reply

请参阅IOS Essential Features 获取更具体资料。

5、设置SYN数据包流量速率

Tags:思科 路由器 防御

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接