Cisco路由器交换机安全配置《续》

四、保护服务器

　　对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。

以下是引用片段： 　　ip route 130.1.1.1 255.255.255.255.0 null

　　在WAN Router上配置CBAC,cisco状态防火墙，防止Sync Flood攻击

以下是引用片段： 　　hr(config)#int s0/0 　　hr(config-if)#ip access-group 100 in 　　hr(config)#int f0/0 　　hr(config-if)#ip inspect insp1 in 　　hr(config)#ip inspect audit-trial 　　hr(config)#ip inspect name insp1 tcp 　　hr(config)#ip inspect max-incomplete high 350 　　hr(config)#ip inspect max-incomplete low 240 　　hr(config)#ip audit 　　hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80

　　在WAN Router 上配置IDS入侵检测系统

以下是引用片段： 　　hr(config)#ip audit name audit1 info action alarm 　　hr(config)#ip audit name audit1 attack action alarm drop 　　reset 　　hr(config)#ip audit audit1 notify log 　　hr(config)#int s0/0 　　hr(config)#ip audit audit1 in

　　 五、网络运行监视

　　配置syslog server,将日志信息发送到syslog server上Syslog Server纪录Router的平时运行产生的一些事件，如广域口的up, down, OSPF Neighbour的建立或断开等，它对统计Router的运行状态、流量的一些状态，电信链路的稳定有非常重要的意义，用以指导对网络的改进。

以下是引用片段： 　　Router(config-t)#logg on 　　Router(config-t)#logg 172.5.5.5 　　Router(config-t)#logg facility local6