局域网安全之路由设置方法

对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。

   经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。

   在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。

   1.修改默认的口令

   据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。

   2.关闭IP直接广播(IP Directed Broadcast)

   你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。

   参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。

   3.如果可能,关闭路由器的HTTP设置

   正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

   虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。

   4.封锁ICMP ping请求

   ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。

   请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。

   5.关闭IP源路由

   IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。

  6.确定你的数据包过滤的需求

   封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。

   对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。

   大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。
  
   这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。

   7.建立准许进入和外出的地址过滤政策

   在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。

   相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。

   最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。

   8.保持路由器的物理安全

   从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。

   然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

   9.花时间审阅安全记录

   审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。

   此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。

时间: 2025-01-24 19:34:40

局域网安全之路由设置方法的相关文章

局域网的组建及设置方法

最近有很多用户询问了有关局域网的组建及设置的问题.那么具体遇到局域网的组建及设置该怎么做呢?下面我就来介绍一下局域网的组建及设置的方法. 硬件条件:最少2台电脑以上,1台4口交换机/HUB 组建:将两台电脑的网线接到4口交换机/HUB上的1-4任意两个接口,如电脑与交换机工作正常,即可看见电脑网卡灯和交换机上两个接口的指示亮,则连接完毕. 设置:设两台电脑均为XP系统. 1. 分别打开两台电脑的控制面板里的"网络连接" 2.右键点击本地连接,选择属性.双击internet协议(TCP/

adsl路由设置方法

小型企业办公网络采用ADSL共享上网经济实惠.升级ADSL Modem是一项技术性很强的工作.如果稍有不慎,就可能导致设备不能正常工作,因此大家在动手之前请三思而后行! 通常的做法是使用集线器配合代理服务器软件,利用一台电脑作为代理服务器,其他电脑通过这台代理共享ADSL上网. 不 过这种共享上网的方式,随着时间的推移出现了不少弊病,最明显的就是如果代理服务器不开机,其他电脑都无法连接Internet.那么能否绕过代理服务器,直接通过共享的ADSL Modem实现对Internet的访问呢? 有

中兴831adsl modem ADSL路由设置方法

中兴831adsl modem 如何设置831: 先要把831的内置软件刷到2.79版本,可www.zte.com.cn下载(如何刷在说明里面) 831出厂设置的以太网口IP地址是192.168.1.1,为了能用telnet访问到831,我们现在先把一台电脑的地址设置为192.168.1.*, 使用ping 192.168.1.1 看看能不能访问到831,没问题的话继续,在DOS模式下打入telnet 192.168.1.1,如果你刚刷好软件,是有密码的,原厂密码是adsl831接着我们已经登陆

实现Win7旗舰版与win8.1系统局域网里文件共享的设置方法

  操作步骤: 1.准备和预备条件:Win8.1和Windows 7的电脑必须要在同一个网络内,而且能正常互相访问; 2.下面以Winows 8.1端为例,注意Windows 7端需参考Windows 8.1端做相同设置,首先鼠标右击需要共享的文件夹选择"属性"选项; 2.在弹出来的共享属性窗口中切换到"共享"选项卡,然后点击"共享"按钮; 3.接着选择要共享的用户,可以点击添加Everyone,以便所有用户访问; 4.然后对用户权限进行设置,默

WIN7/XP系统在局域网文件共享设置方法

Windows XP和Windows 7系统的计算机通过局域网互联时,经常出现安装Windows XP系统的计算机很难在网上邻居中找到安装Windows 7系统的计算机的情况,反之也一样.具体表现就是网上邻居中可以显示计算机名但无法访问,或者根本找不到对方的计算机. 问题分析 在访问权限方面,WIN7确实做了诸多限制,通过对WindowsXP和Windows7操作系统的设置,可以实现Windows 7 和 Windows XP系统的局域网互连互通以及文件共享. 设置前必须先要关闭系统的防火墙(M

Win7系统用户在局域网中共享设置方法

现在,一般的家庭有两三台电脑已经相当普遍,而其中的一些品牌笔记本,则可能已经升级安装了最新的Windows 7操作系统(以下简称Win 7).那么在这样的情况下,如何组建纯Win 7系统环境或Win 7与XP系统混合环境下的家庭局域网,又该如何设置文件共享呢?如果你也有同样的疑问,请详细查看本文当中介绍的方法,相信都可以迎刃而解. 两台电脑以上的局域网.WIN7操作系统 步骤/方法 右击桌面网络----属性----更改高级共享设置 (注释:查看当前网络 比如:家庭网络.公共网络 等!) "我这里

小米路由设置百度公共dns怎么操作?小米路由设置dns方法步骤

小米路由设置百度公共dns怎么操作的呢?下文小编就为大家带来小米路由设置dns的方法,小米路由想要使用百度公共dns要怎么设置呢?接下来还不 知道的朋友们随小编一起来学习下吧. 小米路由设置百度公共dns方法步骤: 1.在界面中点击"路由设置"进入设置界面. 2.在右边栏的网络设置展开菜单选中"外网设置"进入设置. 3.在右边界面"配置联网类型"选择"使用静态IP",设置选项下的"DNS1"为180.76.

ci框架[2.x]版本 设置了路由,方法里面用segment怎么接收参数

问题描述 ci框架[2.x]版本 设置了路由,方法里面用segment怎么接收参数 配置文件里面路由规则是默认的,如下: $config['uri_protocol'] = 'AUTO'; 配置路由规则如下: $route['special/(d+).html'] = "home/special_detail/$1"; 访问地址:http://www.test.cn/special/21.html 在控制器里面接收参数id: function special_detail(){ $id

web api-.net基于AttributeRouting的Web API路由设置的POST DELETE方法

问题描述 .net基于AttributeRouting的Web API路由设置的POST DELETE方法 今天研究基于AttributeRouting的Web API路由设置,下图是我写的代码 运行程序 ,验证GET方法,地址栏输入"http://localhost:32451/url/2"结果正确.但是同样的方法验证我写的POST和DELETE方法却报错,如图 请大神帮忙看一下,为什么错了?正确的该怎么写? 解决方案 浏览器输入地址,相当于get 如果你要post delete,必