這次接受實驗的網站:以下簡稱“網站”
我們先PING一下接網站域名,得到IP位址,IP結尾為.69
<a target="_blank" href="http://blog.51cto.com/attachment/201105/115842275.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201105/115906433.jpg"></a>
然後我們tracert下看路由經過多少跳。
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120006433.jpg"></a>
使用SolarWinds.Engineers掃描網站的IP段。我們獲知網站網段内有一台Cisco路由器,通過IP,網站的資料傳輸,很可能需要這台CISCO來中轉、轉發。
搗鼓了一陣,成功登陸CISCO路由器。并查詢了配置表、接口資訊、協定類型等
通過編輯設定路由表,可以讓測試的網站不能通路。
access-list 101 deny ip host 網站IP any
access-list 101 permit ip any any
輸入執行後,網站不能通路了。
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120332580.jpg"></a>
恢複網站通路指令:
no access-list 101 deny ip host 網站IP any
輸入執行,網站恢複通路
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120409614.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120236323.jpg"></a>
我們還可以細化設定,比如指定哪些IP不能通路網站,或者不能通路哪些端口,還有協定類型等等。
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120441145.jpg"></a>
上圖我們看到,指令不允許結尾為.124的IP通過TCP協定通路網站的80端口
這裡提示一下,路由器的掩碼和我們平時PC的掩碼是相反的,比如PC的255.255.255.0 在路由表裡就是0.0.0.255
輸入指令執行,結尾為.124的IP主機已經不能通過80端口通路網站了
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120544788.jpg"></a>
對于這種針對某個IP或某段IP限制通路的情況,我們可以通過爬牆來解決~~你懂的。
PS:
隻要是經過這台CISCO路由器轉發資料的網站,都有通路受限的隐患,是以系統管理者把伺服器做好安全後,網絡管理者也要把路由等裝置維護安全。
最好加上一句:no snmp
本文轉自enables 51CTO部落格,原文連結:http://blog.51cto.com/niuzu/572518,如需轉載請自行聯系原作者
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)