金钼软件下载站:全力打造中国绿色软件下载基地,所有软件通过安全检测,无木马病毒,无诱导广告,绿色软件轻松下载,更新及时,精彩下载,尽在本下载站!
网站地图
你的位置: 首页 > 游戏资讯 > 网络安全

安全部署企业网络边界路由器

  • 2023-05-13 05:18:53
  • 来源:互联网
  • 在手机上看

    扫一扫立即进入手机端

边界路由器是连接内部局域网和外部Internet的关键路由。作为内外网络之间的桥梁,它的安全运行关系到整个局域网的命运。因为直接与Internet连接,边界路由器首当其冲是黑客攻击的重点。基于此,边界路由器理应成为网络管理者重点维护的对象。本文就以Cisco的路由器产品为例,和大家分享边界路由器的安全部署方案。

  1、安全部署从密码开始ONG>

  密码是路由器用来阻止对其进行非授权访问的主要手段,是路由器本身安全的一部分。对于边界路由器来说,安全可靠的密码策略更是必不可少的。

  (1).设置符合复杂性的特权模式进入密码

  首次登录路由器后就要为其设置复杂的密码,例如:“Router(config)#enable secret 55ctocio,.“,建议不要采用enable password进行设置。两者虽然功能相似,但是enable password采用的加密算法比较弱。同时,还要启用service password-encryption。例如:“Router(config)#service password-encryption“利用这条命令对存储在配置文件中的所有密码和类似的数据进行加密,以提高密码的安全性。(图1)

(2).尽量不要远程访问路由器

  如果不需要对路由器进行远程维护和管理,建议不要开启远程访问。就算开启了路由器的远程访问功能,也要控制远程访问的次数。因为任何人登录到路由器都会在路由器上显示一些重要的信息,而这些信息能够对攻击者进行网络渗透提供帮助。另外还有一种情况:攻击者也许不会通过路由器对局域网实施攻击,但他会将你的路由器作为一个跳板对其他的目标实施攻击。这样,你的路由器被攻击者利用不说,而且会给你带来麻烦(嫁祸于人)。基于此,我们一定要控制路由器的远程访问。如果情况特殊需要远程访问路由器,也一定要设置足够强的密码。笔者建议,不要将远程访问密码和特权密码设置成一样。

  Router(config)#line vty 0 4

  Router(config-line)#login

  Router(config-line)#password ineing55ete

  (图2)

(3).设置高强度的Consol端口访问密码

  尽管大部分的登录访问缺省都是禁止的。但是有一些例外。如直连的控制台终端等。控制台端口具有特殊的权限。特别注意的是,当路由器重启动的开始几秒如果发送一个Break信号到控制台端口,则利用口令恢复程式可以很容易控制整个系统。这样如果一个攻击者尽管他没有正常的访问权限,但是具有系统重启(切断电源或系统崩溃)和访问控制端口(通过直连终端、Modem、终端服务器)的能力就可以控制整个系统。所以必须保证所有连结控制端口的访问的安全性,给Consol端口设置高强度密码。

  Router(config)#line consol 0

  Router(config-line)#password ewingw58erer

  Router(config-line)#login

  (图3)



2、严格配置路由器管理服务

  Cisco路由器集成了许多管理服务,这些服务适用于不同的环境和应用需求。通常情况下,其中的很多管理服务我们根本用不着。而默认情况下其中的某些管理服务是开启的,这带来了一定的安全隐患。最小的服务带来最大的安全,所以我们应该根据实际需要对这些管理服务进行严格配置。

  (1).建议禁止Http管理服务

  Http管理服务是Cisco提供的基于图形界面的Web管理方式,方便某些初级用户的管理需求。但是,开启Web管理后路由器需要开启而外的端口(通常是80),而且Http是Cisco存在漏洞比较多的一个服务。对于一个熟练的管理员,有高效的命令行就可以了,完全用不着Web管理方式,因此笔者建议禁止该管理服务服务。

  Router(config)#no ip http server

  HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令,这使得用HTTP协议进行管理相当危险。如如果开启了HTTP服务,最好使用“Router(config)#ip http access-class“命令限制可访问地址,同时还要设置用户名和密码,并且使用“Router(config)#ip http authentication“命令开启IP验证。

  Router(config)#username ctocio privilege 10 password ienig56egd

  Router(config)#access-list 10 permit 192.168.1.1

  Router(config)#ip http access-class 10

  Router(config)#ip http server

  (图4)

(2).建议禁止SNMP服务

  SNMP是英文“Simple Network Management Protocol“的缩写,中文意思是“简单网络管理协议“,它是路由器里最为常用的网管协议。但是SNMP V1存在很多安全隐患,建议大家通过命令“Router(config)#no snmp-server“将其禁止。如确实要使用该协议,应尽量使用SNMP V2,因为它是基于MD5的数字认证方式。另外,应尽可能对不同的路由器设置不同的MD5安全值。

  如果一定要使用SNMP V1,那么必须要删除SNMP的默认配置,如缺省的community public/private等。如笔者曾经写过一篇文章《防止黑客接管思科路由器》(链接地址为:http://networking.ctocio.com.cn/tips/429/8542429.shtml),就是利用了管理员并没有修改SNMP的默认设置,利用工具下载了路由器的配置文件进而控制路由器的案例。

  禁止pulic的只读属性和admin的读写属性

  Router(config)#no snmp-server community public ro

  Router(config)#no snmp-server community admin rw

  (图5)

(3).关闭IP直接广播(IP Directed Broadcast)

  DDOS(拒绝服务)是网络宿敌而且几乎没有有效的防御措施,Smurf攻击是一种拒绝服务攻击。局域网中的服务器会应答各种网络指令,通常情况下它并不管这个指令是谁发出的。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP ech0“请求。这要求所有的主机对这个广播请求做出回应,这种情况至少会降低你的网络性能。大家可参考你的路由器信息文件,了解如何关闭IP直接广播。例如,可以使用“Router(config)#no ip source-route“这个指令关闭路由器的IP直接广播地址。

  (4).封锁ICMP ping请求

  Ping命令的主要目的是识别目前正在使用的主机是否活动,ping通常用于更大规模的协同性攻击之前的侦察活动,这是攻击者在攻击之前首先要做的测试。通过取消远程用户接收ping请求的应答能力,就能够在一定程度上避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的黑客实施进一步的工具。当然,这样做实际上并不能保护你的路由器不受攻击,但是这将使你不太可能成为一个攻击目标,降低的被攻击的几率。

  有的时候,我们需要发ICMP ping包探测Internet中的某个IP。所以一个折中的方案是:对于进入局域网的ICMP数据包我们要禁止ICMP协议的ECHO、Redirect、Mask request,也需要禁止TraceRoute命令的探测。对于流出的ICMP数据包我们可以允许ECHO、Parameter Problem、Packet too big和TraceRoute命令的使用。

  屏蔽外部ping包

  Router(Config)#access-list 110 deny icmp any any echo log

  Router(Config)#access-list 110 deny icmp any any redirect log

  Router(Config)#access-list 110 deny icmp any any mask-request log

  Router(Config)#access-list 110 permit icmp any any

  允许内部ping包

  Router(Config)#access-list 111 permit icmp any any echo

  Router(Config)#access-list 111 permit icmp any any Parameter-problem

  Router(Config)#access-list 111 permit icmp any any packet-too-big

  Router(Config)#access-list 111 permit icmp any any source-quench

  Router(Config)#access-list 111 deny icmp any any log

  屏蔽外部TraceRoute

  Router(Config)#access-list 112 deny udp any any range 33400 34400

  允许内部TraceRoute

  Router(Config)#access-list 112 permit udp any any range 33400 34400

  (图6)

3、按需定制访问控制列表

  访问控制列表(ACL)可以实现网络通信流量的控制。合理应用路由器(尤其是边缘路由器)的访问控制列表功能,将对网络的安全起到很好的保护作用,如拒绝非公有地址访问内部网络以及一些垃圾和恶意路由信息等。下面提供笔者在实战中设置的访问控制策略供大家借鉴:

  (1).拒绝回环地址127.0.0.0/8

  Router(Config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any log

  (2).拒绝RFCl918私有地址

  Router(Config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any log

  Router(Config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any log

  Router(Config)#access-l

标签: 安全部署 企业网络 安全部署企业网络边界路由器 lol手游登录显示100006(lol手游登录显示网络超时) 2077网络监察(2077网络监察网驱5型) csgo安全处所收藏品怎么得(csgo安全处所收藏品有什么) 《怪物猎人:世界》ps4联机网络设置指南(怪物猎人世界ps4连不上服务器) 2077网监巫毒帮(2077巫毒帮和网络) cod战区安全模式怎么关(使命召唤安全区域设置) 《明日方舟》实名游戏账号可以找回吗安全吗(明日方舟实名认证可以找回密码吗) csgo网络参数指令(csgo网络参数命令) cod16不小心进入安全模式(cod16怎么取消从安全模式进) 2077网络接入舱(赛博朋克2077网络接入仓传说) 2个人一起玩的生存游戏(手游排行榜前十名网络游戏) lol马来西亚服在国内玩延迟高吗(lol马来西亚服在国内玩延迟高吗安全吗) wow炽蓝仙野(wow炽蓝仙野传送网络怎么用) arch配置(arch配置网络) 安全运输法则恶心(安全运输规定定义) 暗区突围保险箱怎么获得(暗区突围安全箱cdk) 2077网监巫毒帮(赛博朋克2077网络特工巫毒帮) 2077巫毒帮和网络监察都杀(2077巫毒帮杀不杀) 《坠落边界》游戏特色内容怎么写(坠落免费阅读边际) 《明日方舟》实名认证的账号能找回来吗安全吗(明日方舟实名的号能找回么) gta5安全门禁(gta5门禁装置需要买吗) 《王者荣耀》限时点券和点券能一起用吗安全吗(王者荣耀限时点券和点券可以混用吗) cod战区安全令(使命召唤战区安全模式是什么意思) 《全面战争:三国》重新部署机制介绍(《全面战争:三国》重新部署机制介绍图) switch数码宝贝网络侦探和骇客记忆的区别(ns数码宝贝骇客追忆和网络侦探) 路由器 简介UbunturootX系统安全帐号 保证安全Vista系统中拒绝陌生U盘使用 改变IT安全历程的十大里程碑盘点 安全知识:巧设瑞星白名单让信任的程序运行更快 安全防忽悠之安全网关趋势分析 网络实验中仅仅搭建成功不算真的成功 安装配置MRTG监控Linux网络 windowsserver安全策略与组策略关系 Windows服务器安全维护注意八要点 远程控制向Windows2008设置要安全 教你取消烦人的windows7安全性提示 无线网络安全 企业无线网络安全问题全解 司机宝企业版app下载 企业办公app 边界路由器 边界路由器的九个安全设置 组策略让Windows2008在低安全下更安全 Windows安全模式杀毒方 Windows安全模式下另类的杀毒方法 虚拟桌面安全软件保障远程客户端安全 企业网络安全 企业网络安全事件应急响应方案 测试你的WLAN安全保护WLAN中的数据 通过路由器基础设置使网络更加安全 网络文件系统 配置网络文件系统NFS服务 Linux服务器安全 Linux服务器安全设置关闭无用端口 网络安全知识:独门秘籍阻止网络病毒的自动执行 安全维护上最不应该犯的十个基本错误

游戏推荐

安全部署 企业网络 安全部署企业网络边界路由器 lol手游登录显示100006(lol手游登录显示网络超时) 2077网络监察(2077网络监察网驱5型) csgo安全处所收藏品怎么得(csgo安全处所收藏品有什么) 《怪物猎人:世界》ps4联机网络设置指南(怪物猎人世界ps4连不上服务器) 2077网监巫毒帮(2077巫毒帮和网络) cod战区安全模式怎么关(使命召唤安全区域设置) 《明日方舟》实名游戏账号可以找回吗安全吗(明日方舟实名认证可以找回密码吗) csgo网络参数指令(csgo网络参数命令) cod16不小心进入安全模式(cod16怎么取消从安全模式进) 2077网络接入舱(赛博朋克2077网络接入仓传说) 2个人一起玩的生存游戏(手游排行榜前十名网络游戏) lol马来西亚服在国内玩延迟高吗(lol马来西亚服在国内玩延迟高吗安全吗) wow炽蓝仙野(wow炽蓝仙野传送网络怎么用) arch配置(arch配置网络) 安全运输法则恶心(安全运输规定定义) 暗区突围保险箱怎么获得(暗区突围安全箱cdk) 2077网监巫毒帮(赛博朋克2077网络特工巫毒帮) 2077巫毒帮和网络监察都杀(2077巫毒帮杀不杀) 《坠落边界》游戏特色内容怎么写(坠落免费阅读边际) 《明日方舟》实名认证的账号能找回来吗安全吗(明日方舟实名的号能找回么) gta5安全门禁(gta5门禁装置需要买吗) 《王者荣耀》限时点券和点券能一起用吗安全吗(王者荣耀限时点券和点券可以混用吗) cod战区安全令(使命召唤战区安全模式是什么意思) 《全面战争:三国》重新部署机制介绍(《全面战争:三国》重新部署机制介绍图) switch数码宝贝网络侦探和骇客记忆的区别(ns数码宝贝骇客追忆和网络侦探) 路由器 简介UbunturootX系统安全帐号 保证安全Vista系统中拒绝陌生U盘使用 改变IT安全历程的十大里程碑盘点 安全知识:巧设瑞星白名单让信任的程序运行更快 安全防忽悠之安全网关趋势分析 网络实验中仅仅搭建成功不算真的成功 安装配置MRTG监控Linux网络 windowsserver安全策略与组策略关系 Windows服务器安全维护注意八要点 远程控制向Windows2008设置要安全 教你取消烦人的windows7安全性提示 无线网络安全 企业无线网络安全问题全解 司机宝企业版app下载 企业办公app 边界路由器 边界路由器的九个安全设置 组策略让Windows2008在低安全下更安全 Windows安全模式杀毒方 Windows安全模式下另类的杀毒方法 虚拟桌面安全软件保障远程客户端安全 企业网络安全 企业网络安全事件应急响应方案 测试你的WLAN安全保护WLAN中的数据 通过路由器基础设置使网络更加安全 网络文件系统 配置网络文件系统NFS服务 Linux服务器安全 Linux服务器安全设置关闭无用端口 网络安全知识:独门秘籍阻止网络病毒的自动执行 安全维护上最不应该犯的十个基本错误
更多

手机游戏排行榜