21、大型网络安全与QoS实现策略

大型网络安全与QoS实现策略

1. 核心路由器防火墙配置

核心路由器为数据中心和分布式网络中的设备提供了首道防线，对于部分设备而言，核心路由器更是唯一的外部防护。以下是核心路由器的防火墙配置示例：

$I -N manag #Lo + dns + icmp + !syn $I -A INPUT -i lo -j ACCEPT $I -A INPUT -p tcp ! --syn -j ACCEPT $I -A INPUT -p icmp -j ACCEPT $I -A INPUT -p UDP --sport 53 -s our.dns.server.ourcompany.org -j ACCEPT $I -A INPUT -p UDP --sport 53 -s our.dns.server2.ourcompany.org -j ACCEPT #Management chain - ssh, snmp, zebra, BGPD $I -A INPUT -p TCP --dport 22 -j manag #ssh $I -A INPUT -p UDP --dport 161 -j manag #snmp $I -A INPUT -p TCP --dport 2601 -j manag #zebra $I -A INPUT -p TCP --dport 2605 -j manag #bgpd #Network Administrators IP addresses $I -A manag -s 1.1.40.0/27 -j ACCEPT $I -A manag -s 1.1.169.0/27 -j ACCEPT $I -A manag -j DROP #Our BGP peer