九大步骤 让你通过路由器保护内网安全[网络技术]

关于大大都企业局域网来说,路由器已经成为正在利用之中的最重要的安全设备之一.普通来说,大大都网络都有一个主要的接入点.这就是普通与专用防火墙一同利用的"边界路由器".

    经过得当的设置,边沿路由器可以把几近全部的最顽固的坏分子挡在网络之外.假如你乐意的话,这种路由器还可以让好人进入网络.不过,没有得当设置的路由器只是比根本就没有安全办法略微好一点.

    在下列指南中,我们将研究一下你可以用来保护网络安全的9个便利的步骤.这些步骤可以保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门.

    1.改正默许的口令

    据国外调查显示,80%的安全冲破事件是由柔弱的口令惹起的.网络上有大大都路由器的遍及的默许口令列表.你可以必定在某些地方的某个人会知道你的生日.SecurityStats.com网站保护一个细致的可用/不可用口令列表,以及一个口令的坚固性测试.

    2.关闭IP直接广播（IP Directed Broadcast）

    你的服务器是很听话的.让它做什么它就做什么,并且不管是谁发出的指令.Smurf攻击是一种回绝服务攻击.在这种攻击中,攻击者利用假充的源地址向你的网络广播地址发送一个"ICMP echo"恳求.这要求全部的主机对这个广播恳求做出回应.这种情形至少会降低你的网络性能.

    参考你的路由器信息文件,理解若何干闭IP直接广播.比方,"Central（config）#no ip source-route"这个指令将关闭思科路由器的IP直接广播地址.

    3.假如大概,关闭路由器的HTTP设置

    HTTP利用的身份辨认协议相当于向整个网络发送一个未加密的口令.但是,遗憾的是,HTTP协议中没有一个用于考证口令大概一次性口令的有效规定.

    固然这种未加密的口令关于你从远程位置（比方家里）设置你的路由器大概是非常便利的,但是,你可以做到的事情其他人也照样可以做到.分外是假如你仍在利用默许的口令!假如你必须远程管理路由器,你一定要确保利用SNMPv3以上版本的协议,因为它支持更严峻的口令.

    4.封闭ICMP ping恳求

    ping的主要目的是辨认目前正在利用的主机.因此,ping普通用于更大规模的协同性攻击之前的侦查活动.通过撤消远程用户接纳ping恳求的应答本领,你就更简单避开那些无人注意的扫描活动大概防备那些探求简单攻击的目标的"脚本小子"（script kiddies）.

    请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太大概成为一个攻击目标.

    5.关闭IP源路由

    IP协议答应一台主机指定数据包通过你的网络的路由,而不是答应网络组件肯定最佳的途径.这个功效的合理的利用是用于诊断衔接弊端.但是,这种用处很少利用.这项功效最常用的用处是为了侦查目的对你的网络举行镜像,大概用于攻击者在你的专用网络中探求一个后门.除非指定这项功效只能用于诊断弊端,不然应当关闭这个功效.

    6.肯定你的数据包过滤的需求

    封闭端口有两项来由.此中之一按照你对安全水平的要求关于你的网络是符合的.

    关于高度安全的网络来说,分外是在存储大概保持奥秘数据的时刻,普通要求经过答应才可以过滤.在这种规定中,除了网路功效需求的之外,全部的端口和IP地址都必要要封闭.比方,用于web通信的端口80和用于SMTP的110/25端口答应来自指定地址的拜候,而全部别的端口和地址都可以关闭.

    大大都网络将通过利用"按回绝恳务实施过滤"的筹划享用可以承受的安全水平.当利用这种过滤政策时,可以封闭你的网络没有利用的端口和特洛伊木马大概侦查活动常用的端口来加强你的网络的安全性.比方,封闭139端口和445（TCP和UDP）端口将使黑客更难对你的网络实施穷举攻击.

    这项工作应当在网络筹划阶段肯定,这时刻安全水平的要求应当符合网络用户的需求.查看这些端口的列表,理解这些端口正常的用处.

    7.成立准许进入和外出的地址过滤政策

    在你的边界路由器上成立政策以便按照IP地址过滤收支网络的违反安全规定的行为.除了特别的差别平常的案例之外,全部试图从你的网络内部拜候互联网的 IP地址都应当有一个分配给你的局域网的地址.比方,192.168.0.1这个地址大概通过这个路由器拜候互联网是合理的.但是,216.239.55.99这个地址极大概是拐骗性的,并且是一场攻击的一部份.

    相反,来自互联网外部的通信的源地址应当不是你的内部网络的一部份.因此,应当封闭入网的192.168.X.X、172.16.X.X和10.X.X.X等地址.

    最后,拥有源地址的通信大概保存的和无法路由的目标地址的全部的通信都应当答应通过这台路由器.这包含回送地址127.0.0.1大概E类（class E）地址段240.0.0.0-254.255.255.255.

    8.保持路由器的物理安全

    从网络嗅探的角度看,路由器比集线器更安全.这是因为路由器按照IP地址智能化地路由数据包,而集线器相全部的节点播出数据.假如衔接到那台集线器的一个系统将其网络适配器置于混乱的情势,它们就可以够接纳和看到全部的广播,包含口令、POP3通信和Web通信.

    然后,重要的是确保物理拜候你的网络设备是安全的,以避免未经答应的笔记本电脑等嗅探设备放在你的本地子网中.

    9.花时间审视安全记录

    审视你的路由器记录（通过其内置的防火墙功效）是查出安全事件的最有效的办法,无论是查出正在实施的攻击还是将来攻击的征候都非常有效.操纵出网的记录,你还可以查出试图成立外部衔接的特洛伊木马程序和特工软件程序.

    此外,普通来说,路由器位于你的网络的边沿,并且答应你看到收支你的网络全部通信的情况.