很多網路管理員還沒有認識到他們的路由器能夠成為攻擊的熱點,路由器操作系統同網路操作系統一樣容易受到黑客的攻擊。大多數中小企業沒有僱傭路由器工程師,也沒有把這項功能當成一件必須要做的事情外包出去。因此,網路管理員和經理人既不十分了解也沒有時間去保證路由器的安全。下面是保證路由器安全的十個基本的技巧。 1.更新你的路由器操作系統:就像網路操作系統一樣,路由器操作系統也需要更新,以便糾正編程錯誤、軟體瑕疵和緩存溢出的問題。要經常向你的路由器廠商查詢當前的更新和操作系統的版本。 2.修改默認的口令:據卡內基梅隆大學的計算機應急反應小組稱,80%的安全事件都是由於較弱或者默認的口令引起的。避免使用普通的口令,並且使用大小寫字母混合的方式作為更強大的口令規則。 3.禁用HTTP設置和SNMP(簡單網路管理協議):你的路由器的HTTP設置部分對於一個繁忙的網路管理員來說是很容易設置的,但是,這對路由器來說也是一個安全問題。如果你的路由器有一個命令行設置,禁用HTTP方式並且使用這種設置方式,如果你沒有使用你的路由器上的SNMP,那麼你就不需要啟用這個功能。思科路由器存在一個容易遭受GRE隧道攻擊的SNMP安全漏洞。 4.封鎖ICMP(互聯網控制消息協議)ping請求:ping和其它ICMP功能對於網路管理員和黑客都是非常有用的工具。黑客能夠利用你的路由器上啟用的ICMP功能找出可用來攻擊你的網路的信息。 5.禁用來自互聯網的telnet命令:在大多數情況下,你不需要來自互聯網介面的主動的telnet會話。如果從內部訪問你的路由器設置會更安全一些。 6.禁用IP定向廣播:IP定向廣播能夠允許對你的設備實施拒絕服務攻擊。一台路由器的內存和CPU難以承受太多的請求。這種結果會導致緩存溢出。 7.禁用IP路由和IP重新定向:重新定向允許數據包從一個介面進來然後從另一個介面出去。你不需要把精心設計的數據包重新定向到專用的內部網路。 8.包過濾:包過濾僅傳遞你允許進入你的網路的那種數據包。許多公司僅允許使用80埠(HTTP)和110/25埠(電子郵件)。此外,你可以封鎖和允許IP地址和范圍。 9.審查安全記錄:通過簡單地利用一些時間審查你的記錄文件,你會看到明顯的攻擊方式,甚至安全漏洞。你將為你經歷了如此多的攻擊感到驚奇。 10.不必要的服務:永遠禁用不必要的服務,無論是路由器、伺服器和工作站上的不必要的服務都要禁用。思科的設備通過網路操作系統默認地提供一些小的服務,如echo(回波), chargen(字元發生器協議)和discard(拋棄協議)。這些服務,特別是它們的UDP服務,很少用於合法的目的。但是,這些服務能夠用來實施拒絕服務攻擊和其它攻擊。包過濾可以防止這些攻擊。
② 如何防範網路安全問題
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。如何防範網路安全問題防範網路病毒。配置防火牆。採用入侵檢測系統。web、emai1、bbs的安全監測系統。漏洞掃描系統。ip用問題的解決。利用網路維護子網系統安全。提高網路工作人員的素質,強化網路安全責任。採用強力的密碼。一個足夠強大的密碼可以讓暴力破解成為不可能實現的情況。相反的,如果密碼強度不夠,幾乎可以肯定會讓你的系統受到損害;對介質訪問控制(mac)地址進行控制。隱藏無線網路的服務集合標識符、限制介質訪問控制(mac)地址對網路的訪問,可以確保網路不會被初級的惡意攻擊者騷擾的;互聯網已經成為世界各國人民溝通的重要工具。進入21世紀,以互聯網為代表的信息化浪潮席捲世界每個角落,滲透到經濟、政治、文化和國防等各個領域,對人們的生產、工作、學習、生活等產生了全面而深刻的影響,也使世界經濟和人類文明跨入了新的歷史階段。然而,伴隨著互聯網的飛速發展,網路信息安全問題日益突出,越來越受到社會各界的高度關注。如何在推動社會信息化進程中加強網路與信息安全管理,維護互聯網各方的根本利益和社會和諧穩定,促進經濟社會的持續健康發展,成為我們在信息化時代必須認真解決的一個重大問題。下面介紹下關於網路安全防護的幾項措施。
拓展資料;網路分段技術的應用將從源頭上杜絕網路的安全隱患問題。因為區域網採用以交換機為中心、以路由器為邊界的網路傳輸格局,再加上基於中心交換機的訪問控制功能和三層交換功能,所以採取物理分段與邏輯分段兩種方法來實現對區域網的安全控制,其目的就是將非法用戶與敏感的網路資源相互隔離,從而防止非法偵聽,保證信息的安全暢通。
以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。
法律依據:《規定》第十二條作出規定:網路用戶或者網路服務提供者利用網路公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息,造成他人損害,被侵權人請求其承擔侵權責任的,人民法院應予支持。但下列情形除外:
(一)經自然人書面同意且在約定范圍內公開;
(二)為促進社會公共利益且在必要范圍內;
③ 保護路由器如何才能防止網路黑客入侵
更新路由器操作系統:就像網路操作系統一樣,路由器操作系統也需要更新,以便糾正編程錯誤、軟體瑕疵和緩存溢出的問題。要經常向路由器廠商查詢當前的更新和操作系統的版本。
修改默認的口令:據卡內基梅隆大學的計算機應急反應小組稱,80%的安全事件都是由於較弱或者默認的口令引起的。避免使用普通的口令,並且使用大小寫字母混合的方式作為更強大的口令規則。
禁用HTTP設置和SNMP(簡單網路管理協議):你的路由器的HTTP設置部分對於一個繁忙的網路管理員來說是很容易設置的。但是,這對路由器來說也是一個安全問題。如果路由器有一個命令行設置,禁用HTTP方式並且使用這種設置方式。如果你沒有使用路由器上的SNMP,那麼就不需要啟用這個功能。
封鎖ICMP(互聯網控制消息協議)ping請求:ping和其它ICMP功能對於網路管理員和黑客都是非常有用的工具。黑客能夠利用路由器上啟用的ICMP功能找出可用來攻擊網路的信息。
禁用來自互聯網的telnet命令:在大多數情況下,不需要來自互聯網介面的主動的telnet會話。如果從內部訪問路由器設置會更安全一些。
④ 路由器攻擊防護功能怎麼設置
互聯網的發展越來越快,網路也已經幾乎普及到了我們每個家庭,路由器設備是我們最常使用來連接網路的工具,那麼你知道路由器攻擊防護功能怎麼設置嗎?下面是我整理的一些關於路由器攻擊防護功能設置的相關資料,供你參考。
路由器攻擊防護功能設置的 方法在網路使用的過程中,往往會遇到各種各樣的網路攻擊,如:掃描類的攻擊,DoS攻擊等。
我司企業級路有器內置了目前常見的網路攻擊防護 措施 ,支持內/外部攻擊防範,提供掃描類攻擊、DoS類攻擊、可疑包和含有IP選項的包等攻擊保護,能偵測及阻擋IP 地址欺騙、源路由攻擊、IP/埠掃描、DoS等網路攻擊,有效防止Nimda攻擊等。(路由器只是對於網路中清磨凱常見的攻擊進行防護,對游伍於網路的操作進行監控,而病毒,木馬等這些處於應用層的應用,我司路由器並不是殺毒軟體,並不是我在路由器上設置了防火牆或攻擊防護等,您的計算機就不會中病毒)
在開啟攻答喚擊防護時,必須開啟路由器“防火牆總開關”,選中對應的“開啟攻擊防護”:
在菜單中的“安全設置”->“攻擊防護”中,可以看到路由器針對各種網路攻擊的防護及設置;
其中分別針對各種常見的網路攻擊進行防護:正確設置各種防護的閾值,可以有效的對各種攻擊進行防護。請根據您的網路環境進行相應的設置,一般可以使用路由器默認的值,或者可以自己進行設置。在設置的時候,閾值不要設置過小,會導致攔截過高,有可能把網路中正常的數據包誤認為非法的數據包,使您的網路不能正常使用;閾值也不要設置過大,這樣會起不到攻擊防護的效果。
在區域的設置中,可以選擇LAN和WAN,若選擇LAN表示對來自區域網的數據包進行監控;而選擇WAN表示對來自外網的數據包進行監控。
1、掃描類的攻擊防護主要有三類:IP掃描,埠掃描,IP欺騙。
其中WAN區域沒有IP欺騙設置。掃描一般都是發起攻擊的第一個步驟,攻擊者可以利用IP掃描和埠掃描來獲取目標網路的主機信息和目標主機的埠開放情況,然後對某主機或者某主機的某埠發起攻擊,對掃描進行預先的判斷並保護可以有效的防止攻擊。我司企業級路由器對掃描類攻擊的判斷依據是:設置一個時間閾值(微秒級),若在規定的時間間隔內某種數據包的數量超過了10個,即認定為進行了一次掃描,在接下來的兩秒時間里拒絕來自同一源的這種掃描數據包。閾值的設置一般建議盡可能的大,最大值為一秒,也就是1000000微妙,一般推薦0.5-1秒之間設置。(閾值越大,防火牆對掃描越“敏感”)
下面為路由器沒有開啟攻擊防護下,使用埠掃描工具進行掃描的結果
開啟了路由器的“攻擊防護”
此時進行埠掃描的結果為
通過抓包分析,路由器檢測到了有埠掃描攻擊,進行了相應的攻擊防護,掃描工具沒有接收到前端計算機返回的信息,所以在埠掃描的時候,無法完成埠掃描。此時。路由器發送了一個系統日誌給日誌伺服器,檢測到有攻擊的存在。
在開啟了防火牆的攻擊防護後,掃描軟體掃描不正確。但路由器每次的掃描判斷允許十個掃描數據包通過,因此有可能目的計算機開放的埠剛好在被允許的十個數據包之中,也能被掃描到,但這種幾率是微乎其微的。
日誌伺服器上記錄顯示有埠掃描攻擊
關於日誌伺服器的使用,請參考《日誌伺服器的安裝與使用》,日誌中很清晰的記錄了內網電腦192.168.1.100有埠掃描的行為。
2、DoS類的攻擊主要有:ICMP Flood、UDP Flood、SYN Flood、Land Attack、WinNuke。
拒絕服務(DoS--Denial of Service)攻擊的目的是用極其大量的虛擬信息流耗盡目標主機的資源,目標主機被迫全力處理虛假信息流,從而影響對正常信息流的處理。如果攻擊來自多個源地址,則稱為分布式拒絕服務DDoS。
企業級路由器對DoS類攻擊的判斷依據為:設置一個閾值(單位為每秒數據包個數PPS=Packet Per Second),如果在規定的時間間隔內(1秒),某種數據包超過了設置的閾值,即認定為發生了一次洪泛攻擊,那麼在接下來2秒的時間內,忽略掉下來自相同攻擊源的這一類型數據包。
這里“DoS類攻擊防護”閾值設置與上面“掃描攻擊”閾值剛好相反,值越小越“敏感”,但一般也不能太小,正常的應用不能影響,我們可以根據自己的環境在實際的應用中動態調整。
下面為一個ICMP的例子,在路由器沒有開啟攻擊防護的情況下,ping前端的計算機
使用發包工具,對前端的計算機進行1000pps的ping操作,通過抓包可以看到,前端的計算機都有回應。
而開啟了路由器攻擊防護的ICMP Flood攻擊防護,設置閾值為100pps。
此時進行抓包分析
路由器檢測到了有ICMP Flood攻擊存在,發送了一個日誌給日誌伺服器,在以後的ping請求中,都沒有得到回應。有效地防止了ICMP Flood攻擊。
日誌伺服器中,也可以查看到相應的攻擊信息
3、可疑包類防護包括五類:大的ICMP包(大於1024位元組)、沒有Flag的TCP包、同時設置SYN和FIN的TCP包、僅設置 FIN 而沒有設置ACK的TCP包、未知協議。
4、含有IP選項的包防護:在 Internet Protocol 協議(RFC 791)中,指定了一組選項以提供特殊路由控制、診斷工具和安全性。
它是在 IP 包頭中的目的地址之後。協議認為這些選項“ 對最常用的通信是不必要的”。在實際使用中,它們也很少出現在 IP 包頭中。這些選項經常被用於某些惡意用途。
IP選項包括。
選中一項IP選項的復選框,則檢查;清除選項的選擇,則取消檢查。
一般情況下上面兩部分的數據包是不會出現的,屬於非正常的包,可能是病毒或者攻擊者的試探,路由器在設置了相應的攻擊防護的話會將對應的數據包丟棄。
本文主要介紹了企業級路由器的攻擊防護的處理機制以及效果,通過舉了幾個例子進行詳細地描述。例子中使用的參數只為測試使用,並不一定符合實際的使用環境,在具體的使用過程中,還需要根據您的實際網路使用環境進行調試,找到一個合理的閾值,才能有效的保護您的網路。
路由器攻擊防護功能設置的相關 文章 :
1. 路由器如何防止ARP病毒攻擊
2. 路由器攻擊如何防護
3. 怎樣使用路由器防止DoS攻擊
4. 路由器怎麼防止被攻擊