六步教您快速完成邊界路(lù)由器(qì)設置
發布日(rì)期:2016-06-29 15:41浏覽次數:
目前邊界路(lù)由器(qì)的(de)應用非常廣泛,可能好(hǎo)多人(rén)還(hái)不了解如何快速完成邊界路(lù)由器(qì)設置,沒有(yǒu)關系,看(kàn)完本文(wén)你(nǐ)肯定有(yǒu)不少收獲,希望本文(wén)能教會你(nǐ)更多東西(xī)。對(duì)于大多數企業(yè)局域網來(lái)說(shuō),邊界路(lù)由器(qì)已經成為(wèi)正在使用之中的(de)最重要的(de)安全設備之一。一般來(lái)說(shuō),大多數網絡都(dōu)有(yǒu)一個(gè)主要的(de)接入點。這(zhè)就是通(tōng)常與專用防火牆一起使用的(de)“邊界路(lù)由器(qì)”。
經過恰當的(de)設置,邊界路(lù)由器(qì)能夠把幾乎所有(yǒu)的(de)最頑固的(de)壞分子(zǐ)擋在網絡之外(wài)。如果你(nǐ)願意的(de)話(huà),這(zhè)種邊界路(lù)由器(qì)還(hái)能夠讓好(hǎo)人(rén)進入網絡。不過,沒有(yǒu)恰當設置的(de)邊界路(lù)由器(qì)隻是比根本就沒有(yǒu)安全措施稍微(wēi)好(hǎo)一點。在下(xià)列指南中,我們将研究一下(xià)你(nǐ)可以用來(lái)保護網絡安全的(de)9個(gè)方便的(de)步驟。這(zhè)些步驟能夠保證你(nǐ)擁有(yǒu)一道(dào)保護你(nǐ)的(de)網絡的(de)磚牆,而不是一個(gè)敞開(kāi)的(de)大門。
1.修改默認的(de)口令!
據國(guó)外(wài)調查顯示,80%的(de)安全突破事(shì)件(jiàn)是由薄弱的(de)口令引起的(de)。網絡上(shàng)有(yǒu)大多數邊界路(lù)由器(qì)的(de)廣泛的(de)默認口令列表。你(nǐ)可以肯定在某些地(dì)方的(de)某個(gè)人(rén)會知道(dào)你(nǐ)的(de)生(shēng)日(rì)。SecurityStats.com網站維護一個(gè)詳盡的(de)可用/不可用口令列表,以及一個(gè)口令的(de)可靠性測試。
2.關閉IP直接廣播(IP Directed Broadcast)
你(nǐ)的(de)服務器(qì)是很(hěn)聽(tīng)話(huà)的(de)。讓它做什麽它就做什麽,而且不管是誰發出的(de)指令。Smurf攻擊是一種拒絕服務攻擊。在這(zhè)種攻擊中,攻擊者使用假冒的(de)源地(dì)址向你(nǐ)的(de)網絡廣播地(dì)址發送一個(gè)“ICMP echo”請求。這(zhè)要求所有(yǒu)的(de)主機(jī)對(duì)這(zhè)個(gè)廣播請求做出回應。這(zhè)種情況至少會降低(dī)你(nǐ)的(de)網絡性能。參考你(nǐ)的(de)邊界路(lù)由器(qì)信息文(wén)件(jiàn),了解如何關閉IP直接廣播。例如,“Central(config)#no ip source-route”這(zhè)個(gè)指令将關閉思科(kē)邊界路(lù)由器(qì)的(de)IP直接廣播地(dì)址。
3.如果可能,關閉邊界路(lù)由器(qì)的(de)HTTP設置
正如思科(kē)的(de)技(jì)術說(shuō)明(míng)中簡要說(shuō)明(míng)的(de)那(nà)樣,HTTP使用的(de)身(shēn)份識别協議(yì)相(xiàng)當于向整個(gè)網絡發送一個(gè)未加密的(de)口令。然而,遺憾的(de)是,HTTP協議(yì)中沒有(yǒu)一個(gè)用于驗證口令或者一次性口令的(de)有(yǒu)效規定。雖然這(zhè)種未加密的(de)口令對(duì)于你(nǐ)從(cóng)遠(yuǎn)程位置(例如家(jiā)裏)設置你(nǐ)的(de)邊界路(lù)由器(qì)也許是非常方便的(de),但(dàn)是,你(nǐ)能夠做到的(de)事(shì)情其他(tā)人(rén)也照(zhào)樣可以做到。特别是如果你(nǐ)仍在使用默認的(de)口令!如果你(nǐ)必須遠(yuǎn)程管理(lǐ)邊界路(lù)由器(qì),你(nǐ)一定要确保使用SNMPv3以上(shàng)版本的(de)協議(yì),因為(wèi)它支持更嚴格的(de)口令。
4.封鎖ICMP ping請求
ing的(de)主要目的(de)是識别目前正在使用的(de)主機(jī)。因此,ping通(tōng)常用于更大規模的(de)協同性攻擊之前的(de)偵察活動。通(tōng)過取消遠(yuǎn)程用戶接收ping請求的(de)應答(dá)能力,你(nǐ)就更容易避開(kāi)那(nà)些無人(rén)注意的(de)掃描活動或者防禦那(nà)些尋找容易攻擊的(de)目标的(de)“腳本小(xiǎo)子(zǐ)”(script kiddies)。請注意,這(zhè)樣做實際上(shàng)并不能保護你(nǐ)的(de)網絡不受攻擊,但(dàn)是,這(zhè)将使你(nǐ)不太可能成為(wèi)一個(gè)攻擊目标。
5.關閉IP源路(lù)由
IP協議(yì)允許一台主機(jī)指定數據包通(tōng)過你(nǐ)的(de)網絡的(de)路(lù)由,而不是允許網絡組件(jiàn)确定最佳的(de)路(lù)徑。這(zhè)個(gè)功能的(de)合法的(de)應用是用于診斷連接故障。但(dàn)是,這(zhè)種用途很(hěn)少應用。這(zhè)項功能最常用的(de)用途是為(wèi)了偵察目的(de)對(duì)你(nǐ)的(de)網絡進行鏡像,或者用于攻擊者在你(nǐ)的(de)專用網絡中尋找一個(gè)後門。除非指定這(zhè)項功能隻能用于診斷故障,否則應該關閉這(zhè)個(gè)功能。
6.确定你(nǐ)的(de)數據包過濾的(de)需求
封鎖端口有(yǒu)兩項理(lǐ)由。其中之一根據你(nǐ)對(duì)安全水(shuǐ)平的(de)要求對(duì)于你(nǐ)的(de)網絡是合适的(de)。對(duì)于高(gāo)度安全的(de)網絡來(lái)說(shuō),特别是在存儲或者保持秘密數據的(de)時(shí)候,通(tōng)常要求經過允許才可以過濾。在這(zhè)種規定中,除了網路(lù)功能需要的(de)之外(wài),所有(yǒu)的(de)端口和(hé)IP地(dì)址都(dōu)必要要封鎖。例如,用于web通(tōng)信的(de)端口80和(hé)用于SMTP的(de)110/25端口允許來(lái)自(zì)指定地(dì)址的(de)訪問(wèn),而所有(yǒu)其它端口和(hé)地(dì)址都(dōu)可以關閉。