企业局域网路由的安全设置

企业局域网安全是非常严峻的问题，设置方面也不好控制。而在路由端的设置就直观重要了，它是局域网安全的第一道关卡。

一般，先要仔细看路由的说明文档（废话^_^）懂得基本的操作在进行下面的步骤。

修改默认的口令

关闭IP直接广播(IP Directed Broadcast)

禁用HTTP设置和SNMP(简单网络管理协议) （特别是思科路由存在一个容易遭受GRE隧道攻击的SNMP安全漏洞)

封锁ICMP ping请求;关闭IP源路由

       (ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。)

禁用来自互联网的telnet命令

确定你的数据包过滤的需求

       限于对自身网络的需求，关闭不必要的端口，这样有些有对端口针对性的病毒和木马将很难入侵

包过滤

包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外，你可以封锁和允许IP地址和范围 建立准许进入和外出的地址过滤政策

保持路由器的物理安全

从网络嗅探的角度看，路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包，而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式，它们就能够接收和看到所有的广播，包括口令、POP3通信和Web通信。

然后，重要的是确保物理访问你的网络设备是安全的，以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

花时间审阅安全记录

查看路由防火墙的日志，能有效提前发现入侵行为

 

永远禁用不必要的服务

      无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务，如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务，特别是它们的UDP服务，很少用于合法的目的。但是，这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。