企业局域网路由的安全设置
2010-03-01 20:28
274 查看
企业局域网安全是非常严峻的问题,设置方面也不好控制。而在路由端的设置就直观重要了,它是局域网安全的第一道关卡。
一般,先要仔细看路由的说明文档(废话^_^)懂得基本的操作在进行下面的步骤。
修改默认的口令
关闭IP直接广播(IP Directed Broadcast)
禁用HTTP设置和SNMP(简单网络管理协议) (特别是思科路由存在一个容易遭受GRE隧道攻击的SNMP安全漏洞)
封锁ICMP ping请求;关闭IP源路由
(ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。)
禁用来自互联网的telnet命令
确定你的数据包过滤的需求
限于对自身网络的需求,关闭不必要的端口,这样有些有对端口针对性的病毒和木马将很难入侵
包过滤
包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外,你可以封锁和允许IP地址和范围 建立准许进入和外出的地址过滤政策
保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
花时间审阅安全记录
查看路由防火墙的日志,能有效提前发现入侵行为
永远禁用不必要的服务
无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。
一般,先要仔细看路由的说明文档(废话^_^)懂得基本的操作在进行下面的步骤。
修改默认的口令
关闭IP直接广播(IP Directed Broadcast)
禁用HTTP设置和SNMP(简单网络管理协议) (特别是思科路由存在一个容易遭受GRE隧道攻击的SNMP安全漏洞)
封锁ICMP ping请求;关闭IP源路由
(ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。)
禁用来自互联网的telnet命令
确定你的数据包过滤的需求
限于对自身网络的需求,关闭不必要的端口,这样有些有对端口针对性的病毒和木马将很难入侵
包过滤
包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外,你可以封锁和允许IP地址和范围 建立准许进入和外出的地址过滤政策
保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
花时间审阅安全记录
查看路由防火墙的日志,能有效提前发现入侵行为
永远禁用不必要的服务
无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。
相关文章推荐
- 企业cisco路由与交换安全设置
- 利用WINDOWS SERVER 2003路由设置解决企业IP地址不足! 推荐
- 大型企业局域网安全解决方案
- 大型企业局域网安全解决方案
- 思科 路由、交换、安全设置实战
- 大型企业局域网安全解决方案
- 网络安全实验,虚拟机下ubuntu路由设置
- 外网访问局域网服务器的TP-Link路由设置
- 大型企业局域网安全解决方案
- 基于微地址的角色应用环境设置有利于企业安全机制建设
- 路由巧设置 局域网轻松限制BT下载
- 企业内部网中使用Policy文件来设置Java的安全策略
- 大型企业局域网安全解决方案
- 如何安全设置无线路由
- 企业网络安全软硬策略综合设置
- 大型企业局域网安全解决方案
- 大型企业局域网安全解决方案
- 通过设置路由,实现外网与企业内部子网的便捷访问