|
||||
對於通常的網絡來說,路由器將是保護內部網的第一道關口,因此在網絡安全管理上,必須對路由器進行合理規劃、配置,采取必要的安全保護措施,避免因路由器自身的安全問題而給整個網絡系統帶來漏洞和風險。
正是由於企業網應用的復雜化,使得網絡資源變得更加緊張,在這樣的環境下,企業網遠端管理成為企業網管理員的心病。各大網絡設備生產商也在企業網路由器產品上面下了不少功夫,經過長期對企業網網絡應用環境的研究分析,開發出一系列針對復雜應用環境下網絡應用的優化措施和高級功能。例如:路由器的遠程管理,這樣可以減輕了管理員的負擔,也為企業節約了維護成本。但萬事都有兩面性,在方便自己的同時,也方便了某些惡意用戶。如果設置不當,安全措施不到位,企業路由器極有可能被黑客接管,整個企業的網絡就無安全性可言。
對於通常的網絡來說,路由器將是保護內部網的第一道關口,因此在網絡安全管理上,必須對路由器進行合理規劃、配置,采取必要的安全保護措施,避免因路由器自身的安全問題而給整個網絡系統帶來漏洞和風險。
保護路由器口令
假設一個分公司在郊區設立了營銷網點,營銷網點的員工使用寬帶路由器共享上網,和公司總部保持聯系。如果出現了問題,管理員需要坐兩個多小時的車到營銷網點對寬帶路由器進行維護,非常疲憊。不過,他想到了啟用寬帶路由器的『遠程控制』功能,在總部對路由器進行遠程維護。然而,安全問題開始困擾他,在方便自己的同時,這也方便了那些『不懷好意』者,一旦他們得到路由器的管理員賬號,就能進行各種破壞活動,後果是不堪設想的。那麼,如何纔能增強遠程控制的安全呢?
可見帳戶和密碼是路由器的第一道安全防線,要想對寬帶路由器進行管理,首先必須擁有路由器的管理員賬號。但默認情況下,路由器的初始賬號和密碼都比較簡單,特別是啟用了路由器的遠程控制功能後,公網中的其他用戶就有機會訪問到路由器。如果不對路由器的初始賬號進行修改,使它變得更為復雜,讓不懷好意者難以猜測和破解,那麼路由器就可能被他人利用。一旦密碼泄漏,網絡也就毫無安全可言。
開啟路由器防火牆
路由器遠程管理的安全性大大增強了,但面對網絡中無時無刻都在湧現的病毒和黑客攻擊,為了更好地利用路由器內置的『防火牆』為路由器的遠程控制安全加上『雙保險』。在寬帶路由器管理界面中,依次點擊『安全設置→防火牆設置』,在右側的設置框中選中『開啟防火牆』選項,點擊『保存』按鈕後啟用路由器的防火牆功能。接著點擊『高級安全設置』,進入『高級安全設置』頁面。這裡提供了一些更具體的安全防御功能,如防御DoS攻擊、ICMP-FLOOD攻擊過濾和TCP-SYN-FLOOD攻擊過濾等。
設置隱蔽的端口、特定的IP及關閉
為寬帶路由器設置了復雜的訪問賬號,但這只是為遠程安全管理路由器打下了好的基礎。然而,很多路由器默認是沒有啟用『遠程控制』功能的,因此還要手工啟用,而且在啟用過程中還有很多增強安全的技巧和方法。在寬帶路由器管理界面中,依次點擊『安全設置→遠端Web管理』,進入『遠端Web管理』設置界面。接下來就可啟用遠程控制功能。默認情況下,路由器使用『80』端口來提供遠程管理功能,但這非常不安全,容易被攻擊者猜到。因此,可修改端口號,使用一個不常用的端口來提供遠程管理功能,在『Web管理端口』欄中修改遠程管理使用的端口號(如『8081』)。現在,攻擊者就很難猜到端口號了。接下來,在『遠端Web管理IP地址』欄中,輸入可對路由器進行遠程控制的公網計算機的IP地址。最安全的做法是允許某個使用特定IP地址的機器遠程登錄路由器,將該參數設置為管理員在總部使用的IP地址(如『10.254.*.*』)。現在只有該IP的主機能在公司總部的機器上遠程登錄路由器,而其他公網機器則不行。
關閉telnet命令登錄,在大多數情況下,並不需要來自互聯網接口的主動的telnet會話,如果開啟了Web登錄方式完全可以關閉該登錄方式,減少被黑客攻擊的可能性。禁用IP定向廣播,IP定向廣播使得攻擊者對路由器實施拒絕服務攻擊。因此要禁用,避免當攻擊者不能登錄路由器而采取DDOS攻擊,因為一臺路由器的內存和CPU難以承受太多的請求,這種結果會導致緩存溢出,從而路由器淪陷。同樣的也要禁用IP路由和IP重新定向,因為重定向允許數據包從一個接口進來然後從另一個接口出去,攻擊者可以把精心設計的數據包重新定向到專用的內部網路,危害內部網絡的安全。