亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網絡,我們將竭誠為您提供優質的服務! 誠征網絡推廣 | 網站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯系我們 [ 會員登錄/注冊 ]
促銷推廣
客服中心
業務咨詢
有事點擊這里…  531199185
有事點擊這里…  61352289
點擊這里給我發消息  81721488
有事點擊這里…  376585780
有事點擊這里…  872642803
有事點擊這里…  459248018
有事點擊這里…  61352288
有事點擊這里…  380791050
技術支持
有事點擊這里…  714236853
有事點擊這里…  719304487
有事點擊這里…  1208894568
有事點擊這里…  61352289
在線客服
有事點擊這里…  531199185
有事點擊這里…  61352288
有事點擊這里…  983054746
有事點擊這里…  893984210
當前位置:首頁 >> 技術文章 >> 文章瀏覽
技術文章

邊界路由器的九個安全設置講解

添加時間:2010-11-14  添加: admin 
用路由來保護內網的安全,這已經不是太新的話題了。那么如何給內網增加一個有效地防護屏障呢?對于大多數企業局域網來說,路由器已經成為正在使用之中的最重要的安全設備之一。一般來說,大多數網絡都有一個主要的接入點。這就是通常與專用防火墻一起使用的“邊界路由器”。
  經過恰當的設置,邊界路由器能夠把幾乎所有的最頑固的壞分子擋在網絡之外。如果你愿意的話,這種路由器還能夠讓好人進入網絡。不過,沒有恰當設置的路由器只是比根本就沒有安全措施稍微好一點。
  在下列指南中,我們將研究一下你可以用來保護網絡安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網絡的磚墻,而不是一個敞開的大門。
  1、修改默認的口令
  據國外調查顯示,80%的安全突破事件是由薄弱的口令引起的。網絡上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats.com網站維護一個詳盡的可用/不可用口令列表,以及一個口令的可靠性測試。
  2、關閉IP直接廣播(IP Directed Broadcast)
  你的服務器是很聽話的。讓它做什么它就做什么,而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中,攻擊者使用假冒的源地址向你的網絡廣播地址發送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網絡性能。
  參考你的路由器信息文件,了解如何關閉IP直接廣播。例如,“Central(config)#no ip source-route”這個指令將關閉思科路由器的IP直接廣播地址。
  3、如果可能,關閉路由器的HTTP設置
  正如思科的技術說明中簡要說明的那樣,HTTP使用的身份識別協議相當于向整個網絡發送一個未加密的口令。然而,遺憾的是,HTTP協議中沒有一個用于驗證口令或者一次性口令的有效規定。
  雖然這種未加密的口令對于你從遠程位置(例如家里)設置你的路由器也許是非常方便的,但是,你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器,你一定要確保使用SNMPv3以上版本的協議,因為它支持更嚴格的口令。
  4、封鎖ICMP ping請求
  ping的主要目的是識別目前正在使用的主機。因此,ping通常用于更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力,你就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標的“腳本小子”(script kiddies)。
  請注意,這樣做實際上并不能保護你的網絡不受攻擊,但是,這將使你不太可能成為一個攻擊目標。
  5、關閉IP源路由
  IP協議允許一臺主機指定數據包通過你的網絡的路由,而不是允許網絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障。但是,這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網絡進行鏡像,或者用于攻擊者在你的專用網絡中尋找一個后門。除非指定這項功能只能用于診斷故障,否則應該關閉這個功能。
  6、確定你的數據包過濾的需求
  封鎖端口有兩項理由。其中之一根據你對安全水平的要求對于你的網絡是合適的。
  對于高度安全的網絡來說,特別是在存儲或者保持秘密數據的時候,通常要求經過允許才可以過濾。在這種規定中,除了網路功能需要的之外,所有的端口和IP地址都必要要封鎖。例如,用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問,而所有其它端口和地址都可以關閉。
  大多數網絡將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當使用這種過濾政策時,可以封鎖你的網絡沒有使用的端口和特洛伊木馬或者偵查活動常用的端口來增強你的網絡的安全性。例如,封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網絡實施窮舉攻擊。封鎖31337(TCP和UDP)端口將使Back Orifice木馬程序更難攻擊你的網絡。
  這項工作應該在網絡規劃階段確定,這時候安全水平的要求應該符合網絡用戶的需求。查看這些端口的列表,了解這些端口正常的用途。
  7、建立準許進入和外出的地址過濾政策
  在你的邊界路由器上建立政策以便根據IP地址過濾進出網絡的違反安全規定的行為。除了特殊的不同尋常的案例之外,所有試圖從你的網絡內部訪問互聯網的IP地址都應該有一個分配給你的局域網的地址。例如,192.168.0.1這個地址也許通過這個路由器訪問互聯網是合法的。但是,216.239.55.99這個地址很可能是欺騙性的,并且是一場攻擊的一部分。
  相反,來自互聯網外部的通信的源地址應該不是你的內部網絡的一部分。因此,應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。
  最后,擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這臺路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0
分享到:

頂部 】 【 關閉

新文章:

版權所有:佛山思海電腦網絡有限公司 ©1998-2024 All Rights Reserved.
聯系電話:(0757)22630313、22633833
中華人民共和國增值電信業務經營許可證: 粵B1.B2-20030321 備案號:粵B2-20030321-1
網站公安備案編號:44060602000007 交互式欄目專項備案編號:200303DD003  
察察 工商 網安 舉報有獎  警警  手機打開網站