这次接受实验的网站:以下简称“网站”
我们先PING一下接网站域名,得到IP地址,IP结尾为.69
<a target="_blank" href="http://blog.51cto.com/attachment/201105/115842275.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201105/115906433.jpg"></a>
然后我们tracert下看路由经过多少跳。
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120006433.jpg"></a>
使用SolarWinds.Engineers扫描网站的IP段。我们获知网站网段内有一台Cisco路由器,通过IP,网站的数据传输,很可能需要这台CISCO来中转、转发。
捣鼓了一阵,成功登陆CISCO路由器。并查询了配置表、接口信息、协议类型等
通过编辑设置路由表,可以让测试的网站不能访问。
access-list 101 deny ip host 网站IP any
access-list 101 permit ip any any
输入执行后,网站不能访问了。
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120332580.jpg"></a>
恢复网站访问指令:
no access-list 101 deny ip host 网站IP any
输入执行,网站恢复访问
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120409614.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120236323.jpg"></a>
我们还可以细化设置,比如指定哪些IP不能访问网站,或者不能访问哪些端口,还有协议类型等等。
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120441145.jpg"></a>
上图我们看到,指令不允许结尾为.124的IP通过TCP协议访问网站的80端口
这里提示一下,路由器的掩码和我们平时PC的掩码是相反的,比如PC的255.255.255.0 在路由表里就是0.0.0.255
输入指令执行,结尾为.124的IP主机已经不能通过80端口访问网站了
<a target="_blank" href="http://blog.51cto.com/attachment/201105/120544788.jpg"></a>
对于这种针对某个IP或某段IP限制访问的情况,我们可以通过爬墙来解决~~你懂的。
PS:
只要是经过这台CISCO路由器转发数据的网站,都有访问受限的隐患,因此系统管理员把服务器做好安全后,网络管理员也要把路由等设备维护安全。
最好加上一句:no snmp
本文转自enables 51CTO博客,原文链接:http://blog.51cto.com/niuzu/572518,如需转载请自行联系原作者
![“云管边端”协同的边缘计算安全防护解决方案0 引 言1 5G 及边缘计算2 边缘计算面临的风险3 “云管边端”安全防护技术4 “云管边端”安全防护实践5 结 语[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)