北大青鸟专家解析Cisco路由器默认设置细节

       众所周知，通过在路由器或交换机上设置访问控制列表ACL ，可以在一定程度上起到提高安全，防范黑客与病毒攻击的效果，对于使用思科路由器的用户来说，了解一些关于Cisco路由器默认设置的问题还是有用的，，下面就由我们北大青鸟的网络专家解析一下Cisco路由器默认设置细节。
       1.安全分析
       有过路由器配置经验的读者应该知道网络管理员经常通过在路由器或交换机上设置访问控制列表来完成防范病毒和黑客的作用。Cisco出品的路由器或交换机的访问控制列表都默认在结尾添加了“DENY ANY ANY”语句，这句话的意思是将所有不符合访问控制列表(ACL)语句设定规则的数据包丢弃。那就是不符合ACL设定规则的数据包也将被路由器无条件转发而不是Cisco公司采用的丢弃处理，这造成了该过滤的数据包没有被过滤，网内安全岌岌可危。非法数据包绕过了网络管理员精心设置的防病毒“马其诺防线”，从而轻而易举的侵入了用户的内网。
       2.解决措施
       我们可以在ACL的最后添加上“DENY ANY ANY”语句或将默认的ACL结尾语句设置为DENY ANY ANY.头一种方法仅仅对当前设置的ACL生效，以后设置新ACL时路由器还是默认容许所有数据包通过;而第二种方法则将修改路由器的默认值，将其修改成和CISCO设备一样的默认阻止所有数据包。
       (1)ACL规则直接添加法
       在华为设备上设置完所有ACL语句后再使用“rule deny ip source any destination any”将没有符合规则的数据包实施丢弃处理。
       (2)修改默认设置法
       在华为设备上使用“firewall default deny”，将默认设置从容许转发变为丢弃数据包。从而一劳百逸的解决默认漏洞问题。因此笔者推荐大家使用第二种方法解决这个默认设置的缺陷问题。
        3.Cisco路由器默认设置总结
       经过这次“马其诺”事件，北大青鸟网络专家做出总结：即使是相同的配置命令，如果厂商不同最好事先查阅一下用户手册(特别注意默认设置)，往往默认设置会造成很多不明不白的故障。发现问题以后也不要轻易怀疑设备硬件有问题，应该多从软件及配置命令入手查找问题所在。一个小小的默认设置就将精心打造的防病毒体系完全突破，所以对于我们这些网络管理员来说每次设置后都应该仔细测试下网络状况，确保所实施的手段得以生效。