在近期的一篇文章中，本人討論了防止從INTERNET進(jìn)入本地網(wǎng)絡(luò)的IP欺騙的重要性和方法。不過(guò)，入網(wǎng)的欺騙并非唯一的欺騙形式。實(shí)際上，防止從網(wǎng)絡(luò)轉(zhuǎn)出去的網(wǎng)絡(luò)欺騙也同樣重要。

今天，我們看一下如何從另外一個(gè)方向保護(hù)您的組織－如何防止欺騙性的IP數(shù)據(jù)包和其它有害的通信從您的網(wǎng)絡(luò)流傳到互聯(lián)網(wǎng)上。畢竟，我們大家都不想讓自己的網(wǎng)絡(luò)成為惡意活動(dòng)的避難所，是不是？

“源自我們企業(yè)網(wǎng)絡(luò)的惡意活動(dòng)是不可能的!”有人也許這樣說(shuō)，這是非常有希望的。但這并不意味著惡意的網(wǎng)絡(luò)活動(dòng)不會(huì)發(fā)生。下面是一些你可能想要防止的惡意活動(dòng)：

·傳輸出去的欺騙性IP數(shù)據(jù)包被發(fā)往互聯(lián)網(wǎng)

·從PC直接發(fā)到互聯(lián)網(wǎng)上去的SMTP電子郵件

·通過(guò)電子郵件或其它一些端口，從用戶計(jì)算機(jī)網(wǎng)絡(luò)發(fā)出病毒和蠕蟲(chóng)

·從用戶互聯(lián)網(wǎng)路由器發(fā)出的黑客行為

防止出網(wǎng)的IP地址欺騙

正如在本人近期的一篇文章中所提及的，有一些IP地址是公司必須避免用于互聯(lián)網(wǎng)通信的：（（）中列示的是子網(wǎng)掩碼）

·10.0.0.0（255.0.0.0 ）
·172.16.0.0（255.240.0.0 ）
·192.168.0.0/16 （255.255.0.0 ）
·127.0.0.0（255.0.0.0 ） 
·224.0.0.0（224.0.0.0）
·169.254.0.0（255.255.0.0 ）
·240.0.0.0（240.0.0.0 ）

使用所有這些IP地址中的任何一個(gè)進(jìn)行通信都可能是欺騙性的和惡意的，也就是說(shuō)，我們不僅要阻止源地址為上述范圍、從互聯(lián)網(wǎng)傳入到我們的局域網(wǎng)的數(shù)據(jù)通信，還要阻止那些源地址為上述范圍且發(fā)往互聯(lián)網(wǎng)的IP數(shù)據(jù)包。

要實(shí)現(xiàn)這個(gè)要求，我們可以在路由器上創(chuàng)建一個(gè)出口訪問(wèn)控制列表（ACL）過(guò)濾器，將其運(yùn)用在出口方向的互聯(lián)網(wǎng)接口上，下面給出一個(gè)例子：

Router# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# ip access-list ext egress-antispoof
Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any 
Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any 
Router(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any     
Router(config-ext-nacl)# deny ip 240.0.0.0 15.255.255.255 any     
Router(config-ext-nacl)# deny ip  0.255.255.255 any
Router(config-ext-nacl)# permit ip any any     
Router(config-ext-nacl)# exit

Router(config)#int s0/0
Router(config-if)#ip access-group egress-antispoof out

這樣就防止了從指定的IP地址范圍發(fā)出的任何數(shù)據(jù)包流出你的網(wǎng)絡(luò)。（正如本人在《利用思科 IOS 防止遭受IP地址欺騙攻擊》所提到的關(guān)于入網(wǎng)的IP欺騙那樣，另一個(gè)保護(hù)網(wǎng)絡(luò)免受IP地址欺騙的方法是反向路徑轉(zhuǎn)發(fā)或IP驗(yàn)證。不過(guò)對(duì)于阻止出口的數(shù)據(jù)通信來(lái)說(shuō)，用戶可以使用快速以太網(wǎng)路由器的0/0接口而不是使用串行接口）。

除了要防止欺騙性數(shù)據(jù)包流出你公司的網(wǎng)絡(luò)，還有其它一些方法你可以用來(lái)防止惡意用戶濫用你的網(wǎng)絡(luò)資源。

禁止SMTP電子郵件從PC直接發(fā)到互聯(lián)網(wǎng)上

你肯定不想任何人使用你的公司的網(wǎng)絡(luò)發(fā)送垃圾信息。要防止別人利用你的系統(tǒng)發(fā)送垃圾郵件等，你的防火墻絕對(duì)不應(yīng)該允許從你的PC直接發(fā)送數(shù)據(jù)，并傳輸?shù)交ヂ?lián)網(wǎng)的任何端口上。

換句話說(shuō)，用戶應(yīng)該控制到底是哪種類型的數(shù)據(jù)通信可以通過(guò)你的互聯(lián)網(wǎng)連接將數(shù)據(jù)傳輸出去。假設(shè)你的公司有一個(gè)互聯(lián)網(wǎng)電子郵件服務(wù)器，那么我們就該配置使所有的發(fā)往互聯(lián)網(wǎng)的SMTP通信只能源自那臺(tái)服務(wù)器，而不能是某臺(tái)內(nèi)部的PC。

你可以使用公司的防火墻（或者至少是使用ACL（訪問(wèn)控制列表））來(lái)只允許某些目標(biāo)端口可以將數(shù)據(jù)發(fā)往互聯(lián)網(wǎng)。例如，對(duì)于大多數(shù)公司來(lái)說(shuō)，只需要允許所有的PC可以訪問(wèn)互聯(lián)網(wǎng)計(jì)算機(jī)的80和443端口。通常，端口80用于HTTP服務(wù)，也就是說(shuō)用于網(wǎng)頁(yè)瀏覽。不過(guò)，木馬Executor開(kāi)放此端口。端口443 用于Https服務(wù)，可認(rèn)為它是能提供加密和通過(guò)安全端口傳輸?shù)牧硪环NHTTP。

阻止源自你公司的病毒和蠕蟲(chóng)數(shù)據(jù)包

在許多方面，通過(guò)控制局域網(wǎng)客戶端系統(tǒng)可用的端口，我們可以防止病毒和蠕蟲(chóng)與互聯(lián)網(wǎng)的通信。然而，限制端口也是不容易的，而且惡意用戶通常可以找到繞過(guò)端口限制的方法。

要進(jìn)一步防止病毒和蠕蟲(chóng)的傳播，可以考慮使用某種統(tǒng)一威脅管理（UTM）設(shè)備，如Cisco ASA 或Fortinet，作為anti-X設(shè)備，這兩種設(shè)備都阻止多種安全威脅。如Cisco ASA-5500 及其附加服務(wù)模塊CSC-SSM可提供完整的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防泄密(釣魚)等服務(wù)。要獲得更詳細(xì)的信息，可參考思科的白皮書："Deployment Considerations: Comparing Converged and Dedicated Security Appliances"

防止Internet路由器的黑客行為

要保障路由器的安全，一定要確保你已經(jīng)正確配置了思科路由器的SSH（Secure Shell），并設(shè)置了一個(gè)正確的訪問(wèn)控制列表（ACL）來(lái)定義管理控制臺(tái)的源地址，還要運(yùn)行Security Device Manager (SDM) Security Audit 以確保你不會(huì)忘記堵住任何一個(gè)常見(jiàn)的安全漏洞。

記住，保護(hù)私有網(wǎng)絡(luò)免受互聯(lián)網(wǎng)黑客攻擊是相當(dāng)重要的，這就如同防止黑客將你的網(wǎng)絡(luò)用于惡意目的一樣重要。這四個(gè)方法對(duì)于防止出網(wǎng)的IP欺騙是大有幫助的。