对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置,边界路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMP ping请求
ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。
⑵ 什么是网络边界
简单来说就是一个网络到另一个网络的链接处,例如外网进入内网的点,往内的边界一般就是在终端,往外的边界一般就是在防火墙外和互联网链接的地方,专业来讲一般非军事区(dmz)就是边界区域
⑶ 网络边界的网络边界上需要什么
把不同安全级别的网络相连接,就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。下面我们来看看网络边界上的安全问题都有哪些:
非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的,主要的原因是攻击者不可控,攻击是不可溯源的,也没有办法去“封杀”,一般来说网络边界上的安全问题主要有下面几个方面: 网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。一般信息泄密有两种方式:
◆攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密
◆合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密 木马的发展是一种新型的攻击行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是“僵尸网络”。
来自网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,也就是我们说的行为审计与合轨性审计。
由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击方式有下面几种: 网络攻击是针对网络边界设备或系统服务器的,主要的目的是中断网络与外界的连接,比如DOS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,可以说是一种公开的攻击,攻击的目的一般是造成你服务的中断。
⑷ 怎样解决网络边界安全问题
1、防火墙技术
网络隔离最初的形式是网段的隔离,因为不同的网段之间的通讯是通过路由器连通的,要限制某些网段之间不互通,或有条件地互通,就出现了访问控制技术,也就出现了防火墙,防火墙是不同网络互联时最初的安全网关。
防火墙的安全设计原理来自于包过滤与应用代理技术,两边是连接不同网络的接口,中间是访问控制列表ACL,数据流要经过ACL的过滤才能通过。ACL有些象海关的身份证检查,检查的是你是哪个国家的人,但你是间谍还是游客就无法区分了,因为ACL控制的是网络的三层与四层,对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术,可以隐藏内网设备的IP地址,给内部网络蒙上面纱,成为外部“看不到”的灰盒子,给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系,从而“穿透”了NAT的“防护”,很多P2P应用也采用这种方式“攻破”了防火墙。
防火墙的作用就是建起了网络的“城门”,把住了进入网络的必经通道,所以在网络的边界安全设计中,防火墙成为不可缺的一部分。
防火墙的缺点是:不能对应用层识别,面对隐藏在应用中的病毒、木马都好无办法。所以作为安全级别差异较大的网络互联,防火墙的安全性就远远不够了。
2、多重安全网关技术
既然一道防火墙不能解决各个层面的安全防护,就多上几道安全网关,如用于应用层入侵的IPS、用于对付病毒的AV、用于对付DDOS攻击的…此时UTM设备就诞生了,设计在一起是UTM,分开就是各种不同类型的安全网关。
多重安全网关就是在城门上多设几个关卡,有了职能的分工,有验证件的、有检查行李的、有查毒品的、有查间谍的……
多重安全网关的安全性显然比防火墙要好些,起码对各种常见的入侵与病毒都可以抵御。但是大多的多重安全网关都是通过特征识别来确认入侵的,这种方式速度快,不会带来明显的网络延迟,但也有它本身的固有缺陷,首先,应用特征的更新一般较快,目前最长也以周计算,所以网关要及时地“特征库升级”;其次,很多黑客的攻击利用“正常”的通讯,分散迂回进入,没有明显的特征,安全网关对于这类攻击能力很有限;最后,安全网关再多,也只是若干个检查站,一旦“混入”,进入到大门内部,网关就没有作用了。这也安全专家们对多重安全网关“信任不足”的原因吧。
3、网闸技术
网闸的安全思路来自于“不同时连接”。不同时连接两个网络,通过一个中间缓冲区来“摆渡”业务数据,业务实现了互通,“不连接”原则上入侵的可能性就小多了。
网闸只是单纯地摆渡数据,近似于人工的“U盘摆渡”方式。网闸的安全性来自于它摆渡的是“纯数据”还是“灰数据”,通过的内容清晰可见,“水至清则无鱼”,入侵与病毒没有了藏身之地,网络就相对安全了。也就是说,城门只让一种人通过,比如送菜的,间谍可混入的概率就大大降低了。但是,网闸作为网络的互联边界,必然要支持各种业务的连通,也就是某些通讯协议的通过,所以网闸上大多开通了协议的代理服务,就象城墙上开了一些特殊的通道,网闸的安全性就打了折扣,在对这些通道的安全检查方面,网闸比多重安全网关的检查功效不见得高明。
网闸的思想是先堵上,根据“城内”的需要再开一些小门,防火墙是先打开大门,对不希望的人再逐个禁止,两个思路刚好相反。在入侵的识别技术上差不多,所以采用多重网关增加对应用层的识别与防护对两者都是很好的补充。
后来网闸设计中出现了存储通道技术、单向通道技术等等,但都不能保证数据的“单纯性”,检查技术由于没有新的突破,所以网闸的安全性受到了专家们的质疑。
但是网闸给我们带来了两点启示:
1、建立业务互通的缓冲区,既然连接有不安全的可能,单独开辟一块地区,缩小不安全的范围也是好办法。
2、协议代理,其实防火墙也有应用代理是思想,不让来人进入到成内,你要什么服务我安排自己的人给你提供服务,网络访问的最终目的是业务的申请,我替你完成了,不也达到目的了吗?黑客在网络的大门外边,不进来,威胁就小多啦。
4、数据交换网技术
火墙到网闸,都是采用的关卡方式,“检查”的技术各有不同,但对黑客的最新攻击技术都不太好用,也没有监控的手段,对付“人”的攻击行为来说,只有人才是最好的对手。
数据交换网技术是基于缓冲区隔离的思想,把城门处修建了一个“数据交易市场”,形成两个缓冲区的隔离,同时引进银行系统对数据完整性保护的Clark-Wilson模型,在防止内部网络数据泄密的同时,保证数据的完整性,即没有授权的人不能修改数据,防止授权用户错误的修改,以及内外数据的一致性。
数据交换网技术给出了边界防护的一种新思路,用网络的方式实现数据交换,也是一种用“土地换安全”的策略。在两个网络间建立一个缓冲地,让“贸易往来”处于可控的范围之内。
数据交换网技术比其他边界安全技术有显着的优势:
1、综合了使用多重安全网关与网闸,采用多层次的安全“关卡”。
2、有了缓冲空间,可以增加安全监控与审计,用专家来对付黑客的入侵,边界处于可控制的范围内,任何蛛丝马迹、风吹草动都逃不过监控者的眼睛。
3、业务的代理保证数据的完整性,业务代理也让外来的访问者止步于网络的交换区,所有的需求由服务人员提供,就象是来访的人只能在固定的接待区洽谈业务,不能进入到内部的办公区。
数据交换网技术针对的是大数据互通的网络互联,一般来说适合于下面的场合:
1、频繁业务互通的要求:
要互通的业务数据量大,或有一定的实时性要求,人工方式肯定不够用,网关方式的保护性又显不足,比如银行的银联系统、海关的报关系统、社保的管理系统、公安的出入境管理系统、大型企业的内部网络(运行ERP)与Internet之间、公众图书馆系统等等。这些系统的突出特点都是其数据中心的重要性是不言而喻,但又与广大百姓与企业息息相关,业务要求提供互联网的访问,在安全性与业务适应性的要求下,业务互联需要用完整的安全技术来保障,选择数据交换网方式是适合的。
2、高密级网络的对外互联:
高密级网络一般涉及国家机密,信息不能泄密是第一要素,也就是绝对不允许非授权人员的入侵。然而出于对公众信息的需求,或对大众网络与信息的监管,必须与非安全网络互联,若是监管之类的业务,业务流量也很大,并且实时性要求也高,在网络互联上选择数据交换网技术是适合的。
四、总结“魔高道高,道高魔高”。网络边界是两者长期博弈的“战场”,然而安全技术在“不断打补丁”的同时,也逐渐在向“主动防御、立体防护”的思想上迈进,边界防护的技术也在逐渐成熟,数据交换网技术就已经不再只是一个防护网关,而是一种边界安全网络,综合性的安全防护思路。也许安全的话题是永恒的,但未来的网络边界一定是越来越安全的,网络的优势就在于连通。
⑸ 边缘路由器怎么使用方法
边缘路由器的使用方法有以下步骤:
1、首先第一步将WAN外网接口接入宽带网线,内网接口与电脑连接,按住路由器后面RESET按键15秒,直到路由器指示灯全部亮起闪烁然后松开,如下图所示。
⑹ 如何在网络边界防火墙上阻断445端口的访问
在网络边界防火墙禁止445端口,的意思就是咱的网络出口的防火墙设置规则,8445端口给封了这就会保护你。防火墙内的所有主机,这就是遏制病毒的一种有效方案。
⑺ 无线传感器网络中什么叫事件边界,什么叫网络边界
事件边界:单个局域网的范围
网络边界:整个网络的范围
无线传感器网络(Wireless Sensor Networks, WSN)是一种分布式传感网络,它的末梢是可以感知和检查外部世界的传感器。WSN中的传感器通过无线方式通信,因此网络设置灵活,设备位置可以随时更改,还可以跟互联网进行有线或无线方式的连接。通过无线通信方式形成的一个多跳自组织的网络。
WSN的发展得益于微机电系统(Micro-Electro-Mechanism System, MEMS)、片上系统(System on Chip, SoC)、无线通信和低功耗嵌入式技术的飞速发展。
WSN广泛应用于军事、智能交通、环境监控、医疗卫生等多个领域。
⑻ 一个防火墙,可以同时隔离多个网络边界吗如何设置
咨询记录 · 回答于2021-12-16
⑼ 局域网边界路由器设置动态路由
http://ke..com/view/16102.htm
私网连接Internet只有通过Nat转换(静态或动态地址池)连接到公网
一.实现方式有三种:
1.静态转换:
2.动态转换:
3.端口复用:
二.地址类型:
1.内部局部地址:内部网络中的地址范围;
2.内部全局地址:路由器与外网相连的地址;
3.外部全局地址:外部路由器的外部地址;
4.外部局部地址:指外部目的主机在局域网的地址范围;
三.NAT并不是所有的数据流都支持的,可支持的数据流:HTTP.TFTP.TELNET.NFS.NTP.FINGER等.
四.配置:
1.步骤:先建立转换对应关系,然后在路由器的内部端口上启用入站转换,在外部接口上启用出站转换.
1.静态转换:
conf t
interface serial 0(外部端口)
ip add 61.169.62.129 255.255.255.248
no sh
interface ethernet 0(内部端口)
ip add 192.168.10.1 255.255.255.0
no sh
建立映射关系,(假设外部接口有好几个IP可用时,我们可用其他的地址)
ip nat inside source 192.168.10.2 61.169.62.129
ip nat inside source 192.168.10.3.61.168.62.130
应用到路由器的端口上:
interface serial 0
ip nat outside(在外部端口上启用出站转换)
interface ethernet 0
ip nat inside(在内部端口上启用入站转换)
五.动态转换:
1.步骤:给路由器设置IP地址,建立一个允许地址范围的访问控制列表,建立一个可以转换的地址范围池,建立转换映射关系,应用到接口.示例:
conf t
interface s 0
ip add 61.159.62.129 255.255.255.192
interface e 0
ip add 192.168.10.1 255.255.255.0
access-list 1 permit 192.168.10.0 0.0.0.255
ip nat pool test0 61.159.62.130 61.159.62.190 netmask 255.255.255.192(格式为:ip nat pool 地址池名 起始地址 结束地址 netmask 掩码)
ip nat inside source list 1 pool test0
interface s 0
ip nat outside
interface e 0
ip nat inside
六.端口复用:指同一个IP用不同的端口,有两种情况,如果有多外合法IP,可用另一个外部合法IP来进行转换,如果只有一个合法IP,就用这个IP来进行转换,示例:
1.多个合法IP的情况
conf t
int s 0
ip add 61.159.62.129 255.255.255.248
int e 0
ip add 192.168.10.1 255.255.255.0
access-list 1 permit 192.168.10.0 0.0.0.255
ip nat pool test0 61.159.62.130 61.159.62.130 netmask 255.255.255.248(注意此处用的是另一个合法IP,起止只有一个)
ip nat inside source list 1 pool test0 overload(注意此处)
interface s 0
ip nat outside
interface e 0
ip nat inside
2.只有一个合法IP的情况
conf t
int s 0
ip add 61.159.62.129 255.255.255.248
int e 0
ip add 192.168.10.1 255.255.255.0
access-list 1 permit 192.168.10.0 0.0.0.255
ip nat inside source list 1 interface s 0 overload(注意此处省略了地址池设置,增加了接口的标识)
interface s 0
ip nat outside
interface e 0
ip nat inside
七.负载平衡:假设有三台服务器10.1.1.1,10.1.1.2,10.1.1.3,使用一个虚拟主机10.1.1.127的地址来代表这三台服务器组成的服务器组,可以利用NAT技术来实现负载平衡.
步骤:先设置路由器内外部接口IP,建立允许访问的地址列表(也就是这台虚拟主机),给真实服务器组建立一个转换池,建立映射关系,应用到接口.示例:
conf t
int s 0
ip add 61.158.20.22 255.255.255.248
int e 0
ip add 10.1.1.254 255.255.255.0
access-list 1 permit 10.1.1.127(注意此处允许的是虚拟主机地址)
ip nat pool real-host 10.1.1.1 10.1.1.3 prefix-length 24 type rotary
(real-host指地址池名称,后面地址指的转换的范围,prefix-length指掩码长度,rotary指循环使用)
ip nat inside destination list 1 pool real-host(注意此处因为是让外部主机访问我们的服务器,所有相对于我们来说,他们要访问的是目的,也就是说,转换是外部主机的ip地址,他访问的是我的列表1中的地址,而我的这个列表1中的地址在我的地址池real-host中循环使用)
int s 0
ip nat outside
int e 0
ip nat inside
八.地址的交叉处理:如果两个局域网同一网段的主机想互相访问的话的,就涉及到地址交叉的问题,这时应该这样解决:(假设都是10.1.1.0的网段)
1.设置内外部接口IP:
conf t
interface s 0
ip add 172.69.232.182.255.255.255.0
interface e 0
ip add 10.1.1.254 255.255.255.0
2.定义允许访问控制列表:
access-list 1 permit 10.1.1.0 0.0.0.255
3.定义地址池:
ip nat pool test0 192.2.2.1 192.2.2.254 prefix-length 24
ip nat pool test1 193.3.3.1 193.3.3.254 prefix-length 24
4.定义映射关系:
ip nat inside soure list 1 pool test0
ip nat ouside soure list 1 pool test1
5.应用到接口:
interface s 0
ip nat outside
interface e 0
ip nat inside
九.验证NAT:
1.显示当前存在的转换:show ip nat translations
2.查看NAT的统计信息:show ip nat static
3.调试:debug ip nat
4.清除NATl转换表中的所有条目:clear ip nat translation *
5.清除内部转换:clear ip nat translations inside local-ip global-ip
6.清除外部转换:clear ip nat translations outside local-ip global-ip
如果还是不太清楚请自行请查阅相关技术资料.
⑽ 怎么设置内网和外网
工作中,经常需要电脑连接内网服务,内网服务非公网,如果需要电脑连接公网需要进行切换,特别的麻烦。其实,一个电脑可以同时连接两个网络服务。工作中,经常会遇到网络设置的问题。对于工作,一般都设置在内网网段中,而我们同时由于需求需要连接外网, 一般只能通过内网和外网的不断切换进行设置。小编介绍下如何实现内网和外网同时使用的情况
工具/原料
内网采用网线方式链接
外网通过无线网卡的方式链接
1
前提条件:一台电脑需要两个网卡(无线网卡、有线网卡)能够设置内网和外网同时使用的前提是内网采用网线连接方式(而且有固定的IP地址),外网采用无线网卡链接。
工作中,经常需要电脑连接内网服务,内网服务非公网,如果需要电脑连接公网需要进行切换,特别的麻烦。其实,一个电脑可以同时连接两个网络服务。工作中,经常会遇到网络设置的问题。对于工作,一般都设置在内网网段中,而我们同时由于需求需要连接外网, 一般只能通过内网和外网的不断切换进行设置。小编介绍下如何实现内网和外网同时使用的情况
工具/原料
内网采用网线方式链接
外网通过无线网卡的方式链接
1
前提条件:一台电脑需要两个网卡(无线网卡、有线网卡)能够设置内网和外网同时使用的前提是内网采用网线连接方式(而且有固定的IP地址),外网采用无线网卡链接。
在配置ip地址的时候,网关不要写任何值
要保障内网和外网都能够同时上网。
方法/步骤
方法/步骤
注意事项
经验内容仅供参考,如果您需解决具体问题(尤其法律、医学等领域),建议您详细咨询相关领域专业人士。