“我被安全路由器给忽悠了!”张路(化名)十分气愤的说。张路所在单位前些日子购买了安全路由器,当他看到安全路由器的防御能力介绍后,对单位网络安全问题增强了很多信心。可是好日子没过几天,单位就中了ARP病毒,并遭受了DDoS攻击,使得单位内部网络经常性掉线,即便是
“我被安全路由器给忽悠了!”张路(化名)十分气愤的说。张路所在单位前些日子购买了安全路由器,当他看到安全路由器的防御能力介绍后,对单位网络安全问题增强了很多信心。可是好日子没过几天,单位就中了ARP病毒,并遭受了DDoS攻击,使得单位内部网络经常性掉线,即便是能凑合使也是网速如蜗牛爬。这里不得不说,小张对安全路由器的理解有失偏颇。因为即便是企业已经部署了安全路由器产品,而且其安全功能十分强大,假若使用者对其安全策略设置不当,病毒与攻击也可轻松地绕过安全路由器,对企业的内部网络终端设备发动攻击。这时路由器安全功能形同虚设。
众所周知,随互联网快速发展,国内企业用户的网络规模日益增长。随之而来的信息安全问题,已经成为众多企业用户最为关心的几大问题之一。就目前大多数用户而言,解决网关安全问题采用的手段多以部署安全路由器或用防火墙构建安全体系为主。
目前,多数制造商对其路由器产品均增加安全功能。然而路由器设备一般在出厂时,厂商在安全功能上都不会进行任何设置。用户或者是集成商要根据企业的需要不同,进行针对性设置,以实现更好的防范效果。
为了大家不要像小张那样吃一个暗亏,今天笔者将依据多年的使用经验,介绍一下如何设置好企业级路由器,让路由器的发挥更好的价值。这也算是抛砖引玉吧。
产品说明书十分重要,而这却是我们在网络管理工作中常常忽略的。因此我建议你首先做的,就是要阅读路由器的说明书,看一看它能够实现那些功能,及实现后的效果如何;其次,你可以上网搜索一下,看看你使用的这个产品,还有哪些卖点。不过,有一点可以肯定——大多数路由器在默认状态下,安全功能是不会被启用的。设置路由器的安全功能,正是我们防范网络病毒,抵御DDoS攻击最为重要的一步。那么我们就开始进行设置:
启用ACL防网络病毒功能
对于网络安全要求等级较高的企业来说,在存储或者传输加密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都需要关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,需要封锁你网络中没有使用的端口,同时还要封锁通常被特洛伊木马以及非法网络侦测活动所使用的端口,以此增强网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击(就是在已知一些条件的情况下,把所有的情况都试验一下)。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。开启该功能,如图一
| 图一 |
启用MAC地址的过滤
ARP病毒威胁一直令我们比较心烦的问题,它基本上是通过改变网关的MAC地址实现网络攻击的。根据企业的不同的网络结构,IP地址的分配原则,来实现IP/MAC地址的绑定。如图二
| 图二 |
内部PC限制NAT的链接数量
NAT功能是在企业网中应用最广的功能,由于IP地址不足的原因,运营商提供给企业网的一般就是1个IP地址,而企业网内部有大量的PC,这么多的PC都要通过这唯一的一个IP地址进行上网,如何做到这点呢?答案就是NAT(网络IP地址转换)。
内部PC访问外网的时候,在路由器内部建立一个对应列表,列表中包含内部PC的IP地址、访问的外部IP地址,内部的IP端口,访问目的IP端口等信息,所以每次的ping、下载、WEB访问,都有在路由器上建立对应关系列表,如果该列表对应的网络链接有数据通讯,这些列表会一直保留在路由器中,如果没有数据通讯了,也需要30-100秒才会消失掉。
开启内外网攻击
只要有大量的人去ping这个网站,这个网站就会被摧毁,这个就是所谓的拒绝服务的攻击,用大量的无用的数据请求,让他无暇顾及正常的网络请求。
网络上的黑客在发起攻击前,都要对网络上的各个IP地址进行扫描,其中一个常见的扫描方法就是ping,如果有应答,则说明这个ip地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对路由器发起Ping请求,也会把企业网的路由器拖跨掉。而多数路由器均有应对这类攻击安全防范措施,如图三 。作为管理水平极为普通的网管员而言,在管理界面中进行钩选应该不是十分困难的事情。
| 图三 |
启用时间的访问控制
企业为了控制员工的在上班期间,上网、聊天等非工作必需等网络应用,往往要求网管对路由器进行针对性设置。你可以对路由器的访问控制功能根据你所在企业的需求不同,进行设置,以达到企业利益的最大化。如图四
| 图四 |
定义安全站点和禁止访问的站点
由于一些企业对员工上网行为管理不力,招致企业网络遭受不必要的病毒侵害,商业机密意外泄露,甚至是引发法律纠纷。而对网站进行分级,建立存放网站域名的文件,确立黑白名单的方法,是防止上述问题发生行之有效的手段之一。
这里需要注意的是,你所建立的文件内容既可以是主机名也可以是域名,其目的只有一个——根据单位具体需求制定一个行之有效的安全策略,以确定企业员工哪些网站可以访问,哪些网站不可以访问,从而避免不必要的麻烦。如图五
| 图五 |
总之,一个小小的默认设置就将精心打造的防病毒体系完全突破,所以对于我们这些网络管理员来说每次设置后都应该仔细测试下网络状况,确保所实施的手段得以生效。
我们不管以后使用什么样的软件或硬件设备,都需要看看相关的说明,不要太多相信供应商为你铺好路,他们只是你的领路人,不是你保护神。网络就是一个大千世界,如同我们生活的社会,便利与危险同时存在,但是只要我们按照正确的方法去做,做好防范措施,让实施的手段得以生效,就能够让危险远离我们的局域网,留下一片干净的天空。
如果想了解更多英国留学的申请 签证 学校排名 留学论坛 等相关信息以及详细资讯,欢迎点击中英网http://www.uker.net/。
网友评论