對於大多數企業區域網來說,路由器已經成為正在使用之中的最重要的安全設備之一。一般來說,大多數網路都有一個主要的接入點。這就是通常與專用防火牆一起使用的「邊界路由器」。
經過恰當的設置,邊界路由器能夠把幾乎所有的最頑固的壞分子擋在網路之外。如果你願意的話,這種路由器還能夠讓好人進入網路。不過,沒有恰當設置的路由器只是比根本就沒有安全措施稍微好一點。
在下列指南中,我們將研究一下你可以用來保護網路安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網路的磚牆,而不是一個敞開的大門。
1.修改默認的口令!
據卡內基梅隆大學的CERT/CC(計算機應急反應小組/控制中心)稱,80%的安全突破事件是由薄弱的口令引起的。網路上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats.com網站維護一個詳盡的可用/不可用口令列表,以及一個口令的可靠性測試。
2.關閉IP直接廣播(IP Directed Broadcast)
你的伺服器是很聽話的。讓它做什麼它就做什麼,而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中,攻擊者使用假冒的源地址向你的網路廣播地址發送一個「ICMP echo」請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網路性能。
參考你的路由器信息文件,了解如何關閉IP直接廣播。例如,「Central(config)#no ip source-route」這個指令將關閉思科路由器的IP直接廣播地址。
3.如果可能,關閉路由器的HTTP設置
正如思科的技術說明中簡要說明的那樣,HTTP使用的身份識別協議相當於向整個網路發送一個未加密的口令。然而,遺憾的是,HTTP協議中沒有一個用於驗證口令或者一次性口令的有效規定。
雖然這種未加密的口令對於你從遠程位置(例如家裡)設置你的路由器也許是非常方便的,但是,你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器,你一定要確保使用SNMPv3以上版本的協議,因為它支持更嚴格的口令。
4.封鎖ICMP ping請求
ping的主要目的是識別目前正在使用的主機。因此,ping通常用於更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力,你就更容易避開那些無人注意的掃描活動或者防禦那些尋找容易攻擊的目標的「腳本小子」(script kiddies)。
請注意,這樣做實際上並不能保護你的網路不受攻擊,但是,這將使你不太可能成為一個攻擊目標。
5.關閉IP源路由
IP協議允許一台主機指定數據包通過你的網路的路由,而不是允許網路組件確定最佳的路徑。這個功能的合法的應用是用於診斷連接故障。但是,這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網路進行鏡像,或者用於攻擊者在你的專用網路中尋找一個後門。除非指定這項功能只能用於診斷故障,否則應該關閉這個功能。
6.確定你的數據包過濾的需求
封鎖埠有兩項理由。其中之一根據你對安全水平的要求對於你的網路是合適的。
對於高度安全的網路來說,特別是在存儲或者保持秘密數據的時候,通常要求經過允許才可以過濾。在這種規定中,除了網路功能需要的之外,所有的埠和IP地址都必要要封鎖。例如,用於web通信的埠80和用於SMTP的110/25埠允許來自指定地址的訪問,而所有其它埠和地址都可以關閉。
大多數網路將通過使用「按拒絕請求實施過濾」的方案享受可以接受的安全水平。當使用這種過濾政策時,可以封鎖你的網路沒有使用的埠和特洛伊木馬或者偵查活動常用的埠來增強你的網路的安全性。例如,封鎖139埠和445(TCP和UDP)埠將使黑客更難對你的網路實施窮舉攻擊。封鎖31337(TCP和UDP)埠將使Back Orifice木馬程序更難攻擊你的網路。
這項工作應該在網路規劃階段確定,這時候安全水平的要求應該符合網路用戶的需求。查看這些埠的列表,了解這些埠正常的用途。
7.建立准許進入和外出的地址過濾政策
在你的邊界路由器上建立政策以便根據IP地址過濾進出網路的違反安全規定的行為。除了特殊的不同尋常的案例之外,所有試圖從你的網路內部訪問互聯網的IP地址都應該有一個分配給你的區域網的地址。例如,192.168.0.1這個地址也許通過這個路由器訪問互聯網是合法的。但是,216.239.55.99這個地址很可能是欺騙性的,並且是一場攻擊的一部分。
相反,來自互聯網外部的通信的源地址應該不是你的內部網路的一部分。因此,應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最後,擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這台路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
從網路嗅探的角度看,路由器比集線器更安全。這是因為路由器根據IP地址智能化地路由數據包,而集線器相所有的節點播出數據。如果連接到那台集線器的一個系統將其網路適配器置於混亂的模式,它們就能夠接收和看到所有的廣播,包括口令、POP3通信和Web通信。
然後,重要的是確保物理訪問你的網路設備是安全的,以防止未經允許的筆記本電腦等嗅探設備放在你的本地子網中。
9.花時間審閱安全記錄
審閱你的路由器記錄(通過其內置的防火牆功能)是查出安全事件的最有效的方法,無論是查出正在實施的攻擊還是未來攻擊的徵候都非常有效。利用出網的記錄,你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟體程序。用心的安全管理員在病毒傳播者作出反應之前能夠查出「紅色代碼」和「Nimda」病毒的攻擊。
此外,一般來說,路由器位於你的網路的邊緣,並且允許你看到進出你的網路全部通信的狀況。
⑵ 什麼是網路邊界
簡單來說就是一個網路到另一個網路的鏈接處,例如外網進入內網的點,往內的邊界一般就是在終端,往外的邊界一般就是在防火牆外和互聯網鏈接的地方,專業來講一般非軍事區(dmz)就是邊界區域
⑶ 網路邊界的網路邊界上需要什麼
把不同安全級別的網路相連接,就產生了網路邊界。防止來自網路外界的入侵就要在網路邊界上建立可靠的安全防禦措施。下面我們來看看網路邊界上的安全問題都有哪些:
非安全網路互聯帶來的安全問題與網路內部的安全問題是截然不同的,主要的原因是攻擊者不可控,攻擊是不可溯源的,也沒有辦法去「封殺」,一般來說網路邊界上的安全問題主要有下面幾個方面: 網路上的資源是可以共享的,但沒有授權的人得到了他不該得到的資源,信息就泄露了。一般信息泄密有兩種方式:
◆攻擊者(非授權人員)進入了網路,獲取了信息,這是從網路內部的泄密
◆合法使用者在進行正常業務往來時,信息被外人獲得,這是從網路外部的泄密 木馬的發展是一種新型的攻擊行為,他在傳播時象病毒一樣自由擴散,沒有主動的跡象,但進入你的網路後,便主動與他的「主子」聯絡,從而讓主子來控制你的機器,既可以盜用你的網路信息,也可以利用你的系統資源為他工作,比較典型的就是「僵屍網路」。
來自網路外部的安全問題,重點是防護與監控。來自網路內部的安全,人員是可控的,可以通過認證、授權、審計的方式追蹤用戶的行為軌跡,也就是我們說的行為審計與合軌性審計。
由於有這些安全隱患的存在,在網路邊界上,最容易受到的攻擊方式有下面幾種: 網路攻擊是針對網路邊界設備或系統伺服器的,主要的目的是中斷網路與外界的連接,比如DOS攻擊,雖然不破壞網路內部的數據,但阻塞了應用的帶寬,可以說是一種公開的攻擊,攻擊的目的一般是造成你服務的中斷。
⑷ 怎樣解決網路邊界安全問題
1、防火牆技術
網路隔離最初的形式是網段的隔離,因為不同的網段之間的通訊是通過路由器連通的,要限制某些網段之間不互通,或有條件地互通,就出現了訪問控制技術,也就出現了防火牆,防火牆是不同網路互聯時最初的安全網關。
防火牆的安全設計原理來自於包過濾與應用代理技術,兩邊是連接不同網路的介面,中間是訪問控制列表ACL,數據流要經過ACL的過濾才能通過。ACL有些象海關的身份證檢查,檢查的是你是哪個國家的人,但你是間諜還是遊客就無法區分了,因為ACL控制的是網路的三層與四層,對於應用層是無法識別的。後來的防火牆增加了NAT/PAT技術,可以隱藏內網設備的IP地址,給內部網路蒙上面紗,成為外部「看不到」的灰盒子,給入侵增加了一定的難度。但是木馬技術可以讓內網的機器主動與外界建立聯系,從而「穿透」了NAT的「防護」,很多P2P應用也採用這種方式「攻破」了防火牆。
防火牆的作用就是建起了網路的「城門」,把住了進入網路的必經通道,所以在網路的邊界安全設計中,防火牆成為不可缺的一部分。
防火牆的缺點是:不能對應用層識別,面對隱藏在應用中的病毒、木馬都好無辦法。所以作為安全級別差異較大的網路互聯,防火牆的安全性就遠遠不夠了。
2、多重安全網關技術
既然一道防火牆不能解決各個層面的安全防護,就多上幾道安全網關,如用於應用層入侵的IPS、用於對付病毒的AV、用於對付DDOS攻擊的…此時UTM設備就誕生了,設計在一起是UTM,分開就是各種不同類型的安全網關。
多重安全網關就是在城門上多設幾個關卡,有了職能的分工,有驗證件的、有檢查行李的、有查毒品的、有查間諜的……
多重安全網關的安全性顯然比防火牆要好些,起碼對各種常見的入侵與病毒都可以抵禦。但是大多的多重安全網關都是通過特徵識別來確認入侵的,這種方式速度快,不會帶來明顯的網路延遲,但也有它本身的固有缺陷,首先,應用特徵的更新一般較快,目前最長也以周計算,所以網關要及時地「特徵庫升級」;其次,很多黑客的攻擊利用「正常」的通訊,分散迂迴進入,沒有明顯的特徵,安全網關對於這類攻擊能力很有限;最後,安全網關再多,也只是若干個檢查站,一旦「混入」,進入到大門內部,網關就沒有作用了。這也安全專家們對多重安全網關「信任不足」的原因吧。
3、網閘技術
網閘的安全思路來自於「不同時連接」。不同時連接兩個網路,通過一個中間緩沖區來「擺渡」業務數據,業務實現了互通,「不連接」原則上入侵的可能性就小多了。
網閘只是單純地擺渡數據,近似於人工的「U盤擺渡」方式。網閘的安全性來自於它擺渡的是「純數據」還是「灰數據」,通過的內容清晰可見,「水至清則無魚」,入侵與病毒沒有了藏身之地,網路就相對安全了。也就是說,城門只讓一種人通過,比如送菜的,間諜可混入的概率就大大降低了。但是,網閘作為網路的互聯邊界,必然要支持各種業務的連通,也就是某些通訊協議的通過,所以網閘上大多開通了協議的代理服務,就象城牆上開了一些特殊的通道,網閘的安全性就打了折扣,在對這些通道的安全檢查方面,網閘比多重安全網關的檢查功效不見得高明。
網閘的思想是先堵上,根據「城內」的需要再開一些小門,防火牆是先打開大門,對不希望的人再逐個禁止,兩個思路剛好相反。在入侵的識別技術上差不多,所以採用多重網關增加對應用層的識別與防護對兩者都是很好的補充。
後來網閘設計中出現了存儲通道技術、單向通道技術等等,但都不能保證數據的「單純性」,檢查技術由於沒有新的突破,所以網閘的安全性受到了專家們的質疑。
但是網閘給我們帶來了兩點啟示:
1、建立業務互通的緩沖區,既然連接有不安全的可能,單獨開辟一塊地區,縮小不安全的范圍也是好辦法。
2、協議代理,其實防火牆也有應用代理是思想,不讓來人進入到成內,你要什麼服務我安排自己的人給你提供服務,網路訪問的最終目的是業務的申請,我替你完成了,不也達到目的了嗎?黑客在網路的大門外邊,不進來,威脅就小多啦。
4、數據交換網技術
火牆到網閘,都是採用的關卡方式,「檢查」的技術各有不同,但對黑客的最新攻擊技術都不太好用,也沒有監控的手段,對付「人」的攻擊行為來說,只有人才是最好的對手。
數據交換網技術是基於緩沖區隔離的思想,把城門處修建了一個「數據交易市場」,形成兩個緩沖區的隔離,同時引進銀行系統對數據完整性保護的Clark-Wilson模型,在防止內部網路數據泄密的同時,保證數據的完整性,即沒有授權的人不能修改數據,防止授權用戶錯誤的修改,以及內外數據的一致性。
數據交換網技術給出了邊界防護的一種新思路,用網路的方式實現數據交換,也是一種用「土地換安全」的策略。在兩個網路間建立一個緩沖地,讓「貿易往來」處於可控的范圍之內。
數據交換網技術比其他邊界安全技術有顯著的優勢:
1、綜合了使用多重安全網關與網閘,採用多層次的安全「關卡」。
2、有了緩沖空間,可以增加安全監控與審計,用專家來對付黑客的入侵,邊界處於可控制的范圍內,任何蛛絲馬跡、風吹草動都逃不過監控者的眼睛。
3、業務的代理保證數據的完整性,業務代理也讓外來的訪問者止步於網路的交換區,所有的需求由服務人員提供,就象是來訪的人只能在固定的接待區洽談業務,不能進入到內部的辦公區。
數據交換網技術針對的是大數據互通的網路互聯,一般來說適合於下面的場合:
1、頻繁業務互通的要求:
要互通的業務數據量大,或有一定的實時性要求,人工方式肯定不夠用,網關方式的保護性又顯不足,比如銀行的銀聯系統、海關的報關系統、社保的管理系統、公安的出入境管理系統、大型企業的內部網路(運行ERP)與Internet之間、公眾圖書館系統等等。這些系統的突出特點都是其數據中心的重要性是不言而喻,但又與廣大百姓與企業息息相關,業務要求提供互聯網的訪問,在安全性與業務適應性的要求下,業務互聯需要用完整的安全技術來保障,選擇數據交換網方式是適合的。
2、高密級網路的對外互聯:
高密級網路一般涉及國家機密,信息不能泄密是第一要素,也就是絕對不允許非授權人員的入侵。然而出於對公眾信息的需求,或對大眾網路與信息的監管,必須與非安全網路互聯,若是監管之類的業務,業務流量也很大,並且實時性要求也高,在網路互聯上選擇數據交換網技術是適合的。
四、總結「魔高道高,道高魔高」。網路邊界是兩者長期博弈的「戰場」,然而安全技術在「不斷打補丁」的同時,也逐漸在向「主動防禦、立體防護」的思想上邁進,邊界防護的技術也在逐漸成熟,數據交換網技術就已經不再只是一個防護網關,而是一種邊界安全網路,綜合性的安全防護思路。也許安全的話題是永恆的,但未來的網路邊界一定是越來越安全的,網路的優勢就在於連通。
⑸ 邊緣路由器怎麼使用方法
邊緣路由器的使用方法有以下步驟:
1、首先第一步將WAN外網介面接入寬頻網線,內網介面與電腦連接,按住路由器後面RESET按鍵15秒,直到路由器指示燈全部亮起閃爍然後松開,如下圖所示。
⑹ 如何在網路邊界防火牆上阻斷445埠的訪問
在網路邊界防火牆禁止445埠,的意思就是咱的網路出口的防火牆設置規則,8445埠給封了這就會保護你。防火牆內的所有主機,這就是遏制病毒的一種有效方案。
⑺ 無線感測器網路中什麼叫事件邊界,什麼叫網路邊界
事件邊界:單個區域網的范圍
網路邊界:整個網路的范圍
無線感測器網路(Wireless Sensor Networks, WSN)是一種分布式感測網路,它的末梢是可以感知和檢查外部世界的感測器。WSN中的感測器通過無線方式通信,因此網路設置靈活,設備位置可以隨時更改,還可以跟互聯網進行有線或無線方式的連接。通過無線通信方式形成的一個多跳自組織的網路。
WSN的發展得益於微機電系統(Micro-Electro-Mechanism System, MEMS)、片上系統(System on Chip, SoC)、無線通信和低功耗嵌入式技術的飛速發展。
WSN廣泛應用於軍事、智能交通、環境監控、醫療衛生等多個領域。
⑻ 一個防火牆,可以同時隔離多個網路邊界嗎如何設置
咨詢記錄 · 回答於2021-12-16
⑼ 區域網邊界路由器設置動態路由
http://ke..com/view/16102.htm
私網連接Internet只有通過Nat轉換(靜態或動態地址池)連接到公網
一.實現方式有三種:
1.靜態轉換:
2.動態轉換:
3.埠復用:
二.地址類型:
1.內部局部地址:內部網路中的地址范圍;
2.內部全局地址:路由器與外網相連的地址;
3.外部全局地址:外部路由器的外部地址;
4.外部局部地址:指外部目的主機在區域網的地址范圍;
三.NAT並不是所有的數據流都支持的,可支持的數據流:HTTP.TFTP.TELNET.NFS.NTP.FINGER等.
四.配置:
1.步驟:先建立轉換對應關系,然後在路由器的內部埠上啟用入站轉換,在外部介面上啟用出站轉換.
1.靜態轉換:
conf t
interface serial 0(外部埠)
ip add 61.169.62.129 255.255.255.248
no sh
interface ethernet 0(內部埠)
ip add 192.168.10.1 255.255.255.0
no sh
建立映射關系,(假設外部介面有好幾個IP可用時,我們可用其他的地址)
ip nat inside source 192.168.10.2 61.169.62.129
ip nat inside source 192.168.10.3.61.168.62.130
應用到路由器的埠上:
interface serial 0
ip nat outside(在外部埠上啟用出站轉換)
interface ethernet 0
ip nat inside(在內部埠上啟用入站轉換)
五.動態轉換:
1.步驟:給路由器設置IP地址,建立一個允許地址范圍的訪問控制列表,建立一個可以轉換的地址范圍池,建立轉換映射關系,應用到介面.示例:
conf t
interface s 0
ip add 61.159.62.129 255.255.255.192
interface e 0
ip add 192.168.10.1 255.255.255.0
access-list 1 permit 192.168.10.0 0.0.0.255
ip nat pool test0 61.159.62.130 61.159.62.190 netmask 255.255.255.192(格式為:ip nat pool 地址池名 起始地址 結束地址 netmask 掩碼)
ip nat inside source list 1 pool test0
interface s 0
ip nat outside
interface e 0
ip nat inside
六.埠復用:指同一個IP用不同的埠,有兩種情況,如果有多外合法IP,可用另一個外部合法IP來進行轉換,如果只有一個合法IP,就用這個IP來進行轉換,示例:
1.多個合法IP的情況
conf t
int s 0
ip add 61.159.62.129 255.255.255.248
int e 0
ip add 192.168.10.1 255.255.255.0
access-list 1 permit 192.168.10.0 0.0.0.255
ip nat pool test0 61.159.62.130 61.159.62.130 netmask 255.255.255.248(注意此處用的是另一個合法IP,起止只有一個)
ip nat inside source list 1 pool test0 overload(注意此處)
interface s 0
ip nat outside
interface e 0
ip nat inside
2.只有一個合法IP的情況
conf t
int s 0
ip add 61.159.62.129 255.255.255.248
int e 0
ip add 192.168.10.1 255.255.255.0
access-list 1 permit 192.168.10.0 0.0.0.255
ip nat inside source list 1 interface s 0 overload(注意此處省略了地址池設置,增加了介面的標識)
interface s 0
ip nat outside
interface e 0
ip nat inside
七.負載平衡:假設有三台伺服器10.1.1.1,10.1.1.2,10.1.1.3,使用一個虛擬主機10.1.1.127的地址來代表這三台伺服器組成的伺服器組,可以利用NAT技術來實現負載平衡.
步驟:先設置路由器內外部介面IP,建立允許訪問的地址列表(也就是這台虛擬主機),給真實伺服器組建立一個轉換池,建立映射關系,應用到介面.示例:
conf t
int s 0
ip add 61.158.20.22 255.255.255.248
int e 0
ip add 10.1.1.254 255.255.255.0
access-list 1 permit 10.1.1.127(注意此處允許的是虛擬主機地址)
ip nat pool real-host 10.1.1.1 10.1.1.3 prefix-length 24 type rotary
(real-host指地址池名稱,後面地址指的轉換的范圍,prefix-length指掩碼長度,rotary指循環使用)
ip nat inside destination list 1 pool real-host(注意此處因為是讓外部主機訪問我們的伺服器,所有相對於我們來說,他們要訪問的是目的,也就是說,轉換是外部主機的ip地址,他訪問的是我的列表1中的地址,而我的這個列表1中的地址在我的地址池real-host中循環使用)
int s 0
ip nat outside
int e 0
ip nat inside
八.地址的交叉處理:如果兩個區域網同一網段的主機想互相訪問的話的,就涉及到地址交叉的問題,這時應該這樣解決:(假設都是10.1.1.0的網段)
1.設置內外部介面IP:
conf t
interface s 0
ip add 172.69.232.182.255.255.255.0
interface e 0
ip add 10.1.1.254 255.255.255.0
2.定義允許訪問控制列表:
access-list 1 permit 10.1.1.0 0.0.0.255
3.定義地址池:
ip nat pool test0 192.2.2.1 192.2.2.254 prefix-length 24
ip nat pool test1 193.3.3.1 193.3.3.254 prefix-length 24
4.定義映射關系:
ip nat inside soure list 1 pool test0
ip nat ouside soure list 1 pool test1
5.應用到介面:
interface s 0
ip nat outside
interface e 0
ip nat inside
九.驗證NAT:
1.顯示當前存在的轉換:show ip nat translations
2.查看NAT的統計信息:show ip nat static
3.調試:debug ip nat
4.清除NATl轉換表中的所有條目:clear ip nat translation *
5.清除內部轉換:clear ip nat translations inside local-ip global-ip
6.清除外部轉換:clear ip nat translations outside local-ip global-ip
如果還是不太清楚請自行請查閱相關技術資料.
⑽ 怎麼設置內網和外網
工作中,經常需要電腦連接內網服務,內網服務非公網,如果需要電腦連接公網需要進行切換,特別的麻煩。其實,一個電腦可以同時連接兩個網路服務。工作中,經常會遇到網路設置的問題。對於工作,一般都設置在內網網段中,而我們同時由於需求需要連接外網, 一般只能通過內網和外網的不斷切換進行設置。小編介紹下如何實現內網和外網同時使用的情況
工具/原料
內網採用網線方式鏈接
外網通過無線網卡的方式鏈接
1
前提條件:一台電腦需要兩個網卡(無線網卡、有線網卡)能夠設置內網和外網同時使用的前提是內網採用網線連接方式(而且有固定的IP地址),外網採用無線網卡鏈接。
工作中,經常需要電腦連接內網服務,內網服務非公網,如果需要電腦連接公網需要進行切換,特別的麻煩。其實,一個電腦可以同時連接兩個網路服務。工作中,經常會遇到網路設置的問題。對於工作,一般都設置在內網網段中,而我們同時由於需求需要連接外網, 一般只能通過內網和外網的不斷切換進行設置。小編介紹下如何實現內網和外網同時使用的情況
工具/原料
內網採用網線方式鏈接
外網通過無線網卡的方式鏈接
1
前提條件:一台電腦需要兩個網卡(無線網卡、有線網卡)能夠設置內網和外網同時使用的前提是內網採用網線連接方式(而且有固定的IP地址),外網採用無線網卡鏈接。
在配置ip地址的時候,網關不要寫任何值
要保障內網和外網都能夠同時上網。
方法/步驟
方法/步驟
注意事項
經驗內容僅供參考,如果您需解決具體問題(尤其法律、醫學等領域),建議您詳細咨詢相關領域專業人士。