通过配置,用户可以指定能够通过地址转换的主机,以有效地控制内部网络对外部网络的访问。
结合地址池,还可以支持多对多的地址转换,更有效地利用用户的合法IP地址资源。H3C系列路由器可以提供灵活的内部服务器的支持,对外提供WEB、FTP、SMTP等必要的服务。而这些服务器放置在内部网络中,既保证了安全,又可方便地进行服务器的维护。
3.1.1.5. 关闭危险的服务
如果在H3C系列路由器上不使用以下服务的时候,建议将这些服务关闭,防止那些通过这些服务的攻击对设备的影响。
禁止HDP(Huawei Discovery Protocol);
禁止其他的TCP、UDP Small服务。路由器提供一些基于TCP和UDP协议的小服务如:
echo、chargen和discard。这些小服务很少被使用,而且容易被攻击者利用来越过包过滤
机制;
禁止Finger、NTP服务。Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是
十分危险的,但是如果没有一个很好的认证,则会影响路由器正确时间,导致日志和其
他任务出错;
建议禁止HTTP服务。路由器操作系统支持Http协议进行远端配置和监视,而针对Http
的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保
护,这使得用Http进行管理相当危险;
禁止BOOTp服务;
禁止IP Source Routing;
明确的禁止IP Directed Broadcast;
禁止IP Classless;
禁止ICMP协议的IP Unreachables,Redirects,Mask-Replies;
如果没必要则禁止WINS和DNS服务;
禁止从网络启动和自动从网络下载初始配置文件;
禁止FTP服务,网络上存在大量的FTP服务,使用不同的用户名和密码进行尝试登录设
备,一旦成功登录,就可以对设备的文件系统操作,十分危险。