企业局域网路由的安全设置
企业局域网安全是非常严峻的问题,设置方面也不好控制。而在路由端的设置就直观重要了,它是局域网安全的第一道关卡。
一般,先要仔细看路由的说明文档(废话^_^)懂得基本的操作在进行下面的步骤。
修改默认的口令
关闭IP直接广播(IP Directed Broadcast)
禁用HTTP设置和SNMP(简单网络管理协议) (特别是思科路由存在一个容易遭受GRE隧道攻击的SNMP安全漏洞)
封锁ICMP ping请求;关闭IP源路由
(ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。)
禁用来自互联网的telnet命令
确定你的数据包过滤的需求
限于对自身网络的需求,关闭不必要的端口,这样有些有对端口针对性的病毒和木马将很难入侵
包过滤
建立准许进入和外出的地址过滤政策
保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
花时间审阅安全记录
查看路由防火墙的日志,能有效提前发现入侵行为
永远禁用不必要的服务
无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。
浙公网安备 33010602011771号