智能模糊搜索
仅搜索标题
首页
中国电子政务网
新闻资讯
要闻
国内新闻
国际新闻
行业新闻
电子政务
网上政府
电子政府
电子党务
电子警务
政府网站
智慧社区
政府服务
十二金工程
其他
图书推荐
信息化
政府信息化
各国信息化
行业信息化
技术
智慧城市
电子商务
国内电子商务
国际电子商务
行业电子商务
其他
计算机安全
计算机病毒
信息安全
网络安全
数据恢复
社区安全
其他
资料库
领导专栏
政府文件
政策法规
政府规划
专家学者
其他
案例方案
电子政务
信息化
电子商务
公共安全
会展信息
会议
展览会
政府采购
设备招标
工程项目
企业动态
企业资讯
产品信息
公文写作
党建材料
公共安全
>>
网络安全
巧妙设置路由器 保护内网安全
来源:博客网 更新时间:2012-04-13
对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中,我们将研究一下你可 以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMP ping请求
ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。
国务院部门网站
外交部
国防部
发展改革委
教育部
科技部
工业和信息化部
国家民委
公安部
监察部
民政部
司法部
财政部
人力资源社会保障部
国土资源部
环境保护部
住房城乡建设部
交通运输部
水利部
农业部
商务部
文化部
卫生计生委
人民银行
审计署
国家语委
航天局
原子能机构
国资委
海关总署
税务总局
工商总局
质检总局
新闻出版广电总局
体育总局
安全监管总局
食品药品监管总局
统计局
林业局
知识产权局
旅游局
宗教局
参事室
国管局
版权局
侨办
港澳办
法制办
国研室
台办
新闻办
新华社
中科院
社科院
工程院
发展研究中心
行政学院
地震局
气象局
银监会
证监会
保监会
社保基金会
自然科学基金会
信访局
粮食局
能源局
国防科工局
烟草局
外专局
公务员局
海洋局
测绘地信局
铁路局
民航局
邮政局
文物局
中医药局
外汇局
煤矿安监局
档案局
密码局
扶贫办
三峡办
南水北调办
地方网站
北京
天津
河北
山西
内蒙古
辽宁
吉林
黑龙江
上海
江苏
浙江
安徽
福建
江西
山东
河南
湖北
湖南
广东
广西
海南
重庆
四川
贵州
云南
西藏
陕西
甘肃
青海
宁夏
新疆
新疆生产建设兵团
友情链接
物联网文库
通信人家园
赛迪网
易观网
GPS
中云网
3G手机
物联中国
智能电网
赛迪物联网
RFID世界网
物联网世界
中国采购招标网
中国工控网
美通社
中国会展门户
向日葵远程控制
中国BIM门户
安防知识网
Win10之家
MRO工业品采购
装修
装修论坛
中国IC网
78商务网
马可波罗科技资讯
华强芯城
免费信息发布网
OFweek电子工程网
hao123
51电子网
安防
北极星太阳能光伏网
电子市场网
移动通信网
云计算
元器件交易网
中国安防网
机房360
中国电池网
深圳之窗
中国产业调研网
CNET科技资讯网
ZDNet至顶网
关于我们
|
广告服务
|
联系我们
|
网站声明
|
意见反馈
|
快递查询
Copyright 2007-2014
e-gov
.org.cn
All Rights Reserved
京ICP备 09086746号-1