路由器網路安全配置實驗報告

① 無線路由器安全設置方法

無線路由器方面了我們上網，也讓我們陷入網路危險之中，下面我為大家整理了無線路由器安全設置方法，希望能幫到大家!

無線路由器安全設置：WEP加密,還是WPA加密?

無線網路加密是通過對無線電波里的數據加密提供安全性,主要用於無線區域網中鏈路層信息數據的保密?現在大多數的無線設備具有WEP加密和WAP加密功能,那麼我們使用WEP加密,還是WAP加密呢?顯然WEP出現得比WAP早,WAP比WEP安全性更好一些。

WEP採用對稱加密機制,數據的加密和解密採用相同的密鑰和加密演算法?啟用加密後,兩個無線網路設備要進行通信,必須均配置為使用加密,具有相同的密鑰和演算法?WEP支持64位和128位加密,對於64位加密,密鑰為10個十六進制字元(0-9和A-F)或5個ASCII字元;對於128位加密,密鑰為26個十六進制字元或13個ASCII字元。

無線路由器安全設置：如何讓WEP更安全

(1)使用多組WEP密鑰,使用一組固定WEP密鑰,將會非常不安全,使用多組WEP密鑰會提高安全性,但是請注意WEP密鑰是保存在Flash中,所以某些黑客取得您的網路上的任何一個設備,就可以進入您的網路;

(2)如果你使用的是舊型的無線路由器,且只支持WEP,你可以使用128位的WEPKey,這樣會讓你的無線網路更安全

(3)定期更換你的WEP密鑰

(4)你可以去製造商的網站下載一個固件升級,升級後就能添加WPA支持

WPA(Wi-Fi保護接入)能夠解決WEP所不能解決的安全問題?簡單來說,WEP的安全性不高的問題來源於網路上各台設備共享使用一個密鑰?該密鑰存在不安全因素,其調度演算法上的弱點讓惡意黑客能相對容易地攔截並破壞WEP密碼,進而訪問到區域網的內部資源?、。

WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術?由於加強了生成加密密鑰的演算法,因此即便收集到分組信息並對其進行解析,也幾乎無法計算出通用密鑰?其原理為根據通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰?然後與WEP一樣將此密鑰用於RC4加密處理。

通過這種處理,所有客戶端的所有分組信息所交換的數據將由各不相同的.密鑰加密而成?無論收集到多少這樣的數據,要想破解出原始的通用密鑰幾乎是不可能的?WPA還追加了防止數據中途被篡改的功能和認證功能?由於具備這些功能,WEP中此前倍受指責的缺點得以全部解決?WPA不僅是一種比WEP更為強大的加密方法,而且有更為豐富的內涵?作為802.11i標準的子集,WPA包含了認證?加密和數據完整性校驗三個組成部分,是一個完整的安全性方案。

在這里要提醒各位,許多無線路由器或AP在出廠時,數據傳輸加密功能是關閉的,如果你拿來就用而不作進一步設置的話,那麼你的無線網路就成為了一個「不設防"的擺設。我們給出的建議是:採用WPA加密方式。

無線路由器安全設置：MAC地址—網路世界的DNA

由於每個無線網卡都有世界上唯一的物理地址MAC,因此可以在無線AP(或無線路由器)中手工設置一組允許訪問的主機的無線網卡MAC地址列表,實現物理地址過濾?這要求我們必需隨時更新AP中的MAC地址列表。

路由器設置MAC地址過濾對於大型無線網路來說工作量太大,但對於小型無線網路則不然,因此我們應不怕麻煩?MAC地址在理論上是可以偽造,因此它是較低級別的認證方式。我們給出的建議是:對於家庭及小型辦公無線網路,用戶不是很多,應該設置MAC地址過濾功能。

無線路由器安全設置：SSID—隱藏自己

無線路由器一般都會提供「允許SSID廣播"功能?如果你不想讓自己的無線網路被別人的無線網卡「輕易"搜索到,那麼最好「禁止SSID廣播"?SSID通俗地說便是給無線網路所取的名字,它的作用是區分不同的無線網路。

SSID是無線網卡發現無線網路的第一要素,開啟廣播SSID以後,在無線網路的效覆蓋范圍內,無線網卡會自動找到該網路,並嘗試與之連接?若我們不願將自己的無線網路曝露在大庭廣眾之內,我們應想到隱藏自己無無線網路的SSID,應把「廣播SSID"這項功能關閉。「廣播SSID"關閉以後,無線網卡不會自動找到無線網路,到接入到這個無線網路需要手動添加SSID?我們給出的建議是:隱藏SSID。

無線路由器安全設置：如何讓無線網路更安全

據互聯網的資料,使用以下軟體:NetworkStumbler?WildPacketsAiroPeekNX?OmniPeek4.1和WinAircrack等,這些軟體只要有足夠長的時間來抓取正在通信中的無線網路通信信號,就可以破解包括WEP加密，WPA加密，MAC過濾，SSID隱藏等無線網路安全設置。這聽起來不免令我們失望,那麼如何讓無線網路更安全?

確保盡可能的讓無線接入網路不要依賴於WEP等技術而盡可能的採取其他更為安全手段,目前實現這個目標的方法主要有VPN技術,如:使用安全協議如點對點隧道協議(PPTP)或者第二層隧道協議(L2TP),使用IPSec,SSL等VPN技術。這樣既可以獲得訪問控制功能,也可以獲得端到端(程序至程序)的加密功能。

VPN技術這種端到端的安全解決方案對小型網路和個人應用來說可能部署起來過於復雜和沒有技術方面的支持,這是我們小型用戶感到為難的地方,但基於WEB方式SSLVPN技術相對來說較容易一些。

無線路由器安全設置：自動獲取IP,還是固定IP?

DHCP()動態主機設定協議的功能就是可在區域網內自動為每台電腦分配IP地址,不需要用戶設置IP地址?子網掩碼以及其他所需要的TCP/IP參數。它分為兩個部份:一個是伺服器端(在這里指的是具有DHCP服務功能的無線AP或無線路由器),而另一個是客戶端(用戶的個人電腦等無線客戶端設備)?所有的IP網路設定資料都由DHCP伺服器集中管理,並負責處理客戶端的DHCP要求;而客戶端則會使用從DHCP伺服器分配下來的IP環境資料。

如果無線路由器或無線AP啟用了DHCP功能,為接入無線網路的主機提供動態IP,那麼別人就能很容易使用你的無線網路。因此,禁用DHCP功能對個人或企業無線網路而言很有必要,除非在機場?酒吧等公共無線「熱點"地區,則應打開DHCP功能?一般在無線路由器的「DHCP伺服器"設置項下將DHCP伺服器設定為「不啟用"即可?這樣既使能找到該無線網路信號,仍然不能使用網路。我們給出的建議是:採用不是很常用私有網段的靜態方式,最好不要用192.168.0.0-192.168.0.255這個常用私有網段,讓人一猜就中。

② 路由器怎麼設置無線網路安全設置

1、寬頻網路的匯流排連接路由器的WAN口，路由器的LAN口連接電腦。
2、啟動設備後，打開瀏覽器，在地址欄中輸入192.168.1.1進入無線路由器設置界面。（如進不了請翻看路由器底部銘牌或者是路由器使用說明書，不同型號路由器設置的默認都不一樣。）
3、設置界面出現一個登錄路由器的帳號及密碼，輸入默認帳號和密碼admin，也可以參考說明書；
4、登錄成功之後選擇設置向導的界面，默認情況下會自動彈出；
5、選擇設置向導之後會彈出一個窗口說明，通過向導可以設置路由器的基本參數，直接點擊下一步即可；
6、根據設置向導一步一步設置，選擇上網方式，通常ADSL用戶則選擇第一項PPPoE，如果用的是其他的網路服務商則根據實際情況選擇下面兩項，如果不知道該怎麼選擇的話，直接選擇第一項自動選擇即可，方便新手操作，選完點擊下一步；
7、輸入從網路服務商申請到的賬號和密碼，輸入完成後直接下一步；
8、設置wifi密碼，盡量字母數字組合比較復雜一點不容易被蹭網。
9、輸入正確後會提示是否重啟路由器，選擇是確認重啟路由器，重新啟動路由器後即可正常上網。

③ 騰達無線路由器設置與安全

無線路由器的配置是網路新手非常關心的話題，如何才能正確的配置無線路由器呢?下面我以騰達無線路由器為例，具體圖示介紹設置過程，騰達設置無線連接幾乎可以代表全部路由器，因為步驟都差不多，希望對您有所幫助！

一、無線基本設置

點擊左側的無線設置—無線基本設置

(1)信道

路由器當前使用的信道，從下拉列表中可以選擇 其它 有效工作信道，可選項在1-13之間。

(2)廣播(SSID)

選擇關閉禁止路由器廣播SSID，無線客戶端將無法掃描到路由器的SSID。選擇關閉後，客戶端必須知道路由器的SSID才能與路由器進行通訊，默認為開啟。

(3)網路模式

根據無線客戶端類型選擇其中一種模式，一般如果不知道的話就選擇默認的混合模式。

(4)SSID

服務集合標識符、無線信號的網路名稱，可修改，SSID為必填項。

(5)啟用無線功能

勾選後，啟用無線功能，如果您不想使用無線，可以取消選擇，所有與無線相關的功能將禁止。

二、無線高級設置

點擊點擊左側無線設置——無線高級設，如果不是很懂高級選項的話建議用默認的。

(1)ASPDCapable

自動省電模式，默認為關閉。

(2)TX功率

該項用來設置無線發射功率等級。默認值為100。

(3)Fragment閥值

設定一個分片閥值，一旦無線數據包超過這個閥值將其分成多個片段，片段的大小和分片閥值，默認值為2346，建議不要更改默認值。

(4)Beacon間隔

設置AP發送Beacon包頻率，一般來說，時間設置越小，無線客戶端接入的速度越快，時間設置越大，有助於 無線網路 數據傳輸效能提高，默認值為100，建議不要更改默認值。

(5)RTS閥值

RTS(Requesttosend)，當數據包的大小超過這個閥值時，使用CTS/RTS機制，降低發生沖突的可能性。在存在干擾長距離客戶端接入情況下，可以設置相對較小的RTS值，在一般Soho辦公場所建議不要更改默認值，否則會影響AP性能。

(6)BG保護模式

有利於較慢的11b/g無線客戶端在復雜的多種模式下能順利連接到11n無線網路，默認為「自動」。

(7)基本數據速率

根據實際需要，調整無線基本傳輸速率。默認值為1-2-5.5-11Mbps。建議不要更改默認值。

(8)WMM-Capable

開啟時可以提高無線多媒體數據傳輸性能，如果您對WMM不熟悉，請設置為開啟。

三、無線安全設置

點擊左側無線設置——無線安全設置。最常用的三種加密方式，其中包括MixedWEP加密、WPA-個人、WPA2-個人等。

(1)選擇SSID

選擇要設置的SSID，可以分別對主SSID和次SSID進行安全加密設置。

(2)安全模式

可從列表中選擇相應的安全加密模式，本路由器支持MixedWEP加密、WPA-個人、WPA2-個人。一般我們建議選擇WPA2-個人能有效防止被蹭網解除密碼。

(3)WPA加密規則

有TKIP、AES、TKIP&AES。推薦使用AES。

(4)密鑰

請輸入您想使用的加密字元串，有效字元為ASCII碼字元。長度為8到63個。

騰達無線路由器設置的全過程就每個方面的設置都有圖示作參考，大家可以按部就班的試操作一下，相信不會很困難。

騰達無線路由器的相關 文章 ：

1. 騰達無線路由器連接不上信號怎麼辦

2. 騰達無線路由器設置與安全

3. 關於騰達無線路由器分配網速的設置方法

4. 騰達路由器怎麼設置無線信號強度

5. 騰達無線路由器怎麼防蹭網

④ 給個路由器配置案例並分析

一、直接通過路由器訪問INTERNET資源的配置
1． 總體思路和設備連接方法
一般情況下，單位內部的區域網都使用INTERNET上的保留地址：
10.0.0.0/8：10.0.0.0～10.255.255.255
172.16.0.0/12：172.16.0.0～172.31.255.255
192.168.0.0/16：192.168.0.0～192.168.255.255
在常規情況下，單位內部的工作站在直接利用路由對外訪問時，會因工作站使用的是互聯網上的保留地址，而被路由器過濾掉，從而導致無法訪問互聯網資源。解決這一問題的辦法是利用路由操作系統提供的NAT（Network Address Translation）地址轉換功能，將內部網的私有地址轉換成互聯網上的合法地址，使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet。這樣做的好處是無需配備代理伺服器，減少投資，還可以節約合法IP地址，並提高了內部網路的安全性。
NAT有兩種類型：Single模式和global模式。
使用NAT的single模式，就像它的名字一樣，可以將眾多的本地區域網主機映射為一個Internet地址。區域網內的所有主機對外部Internet網路而言，都被看做一個Internet用戶。本地區域網內的主機繼續使用本地地址。
使用NAT的global模式，路由器的介面將眾多的本地區域網主機映射為一定的Internet地址范圍（IP地址池）。當本地主機埠與Internet上的主機連接時，IP地址池中的某個IP地址被自動分配給該本地主機，連接中斷後動態分配的IP地址將被釋放，釋放的IP地址可被其他本地主機使用。
下面以我單位的網路環境為例，將配置方法及過程列示出來，供大家參考。
我單位利用聯通光纜（V.35）接入INTERNET的，路由器是CISCO2610，區域網採用的是INTEL550百兆交換機，聯通向我們提供了下列四個IP地址：
211.90.137.25（255.255.255.252） 用於本地路由器的廣域網埠
211.90.137.26（255.255.255.252） 用於對方（聯通）的埠
211.90.139.41（255.255.255.252） 供自己支配
211.90.139.42（255.255.255.252） 供自己支配
2． 路由器的配置
（1） 網路連接示意圖：
說明：校內所有的工作站都與交換機連接，路由器也通過以太口連接在內部交換機上，路由器上以太口使用內部私有地址，光纖的兩端分別使用了聯通分配的兩個有效IP地址。在這種連接方式下，只要在路由器內部設置NAT，便可以使得單位內部的所有工作站訪問INTERNTE了，在每台工作站上只需設置網關指向路由器的以太口（192.168.0.3）即可上網，無需設代理，並節省了兩個有效IP地址可供自己自由支配（如建立單位自已的WEB和E-MAIL伺服器）。但也存在缺點：不能享受代理伺服器提供的CACHE服務來提高訪問速度。所以本配置方案適合工作站數量較少的單位，對於單位內部工作站數量較多的情況可以使用後面介紹的兩種方法。路由器上具體配置如下：
1． 總體思路和設備連接方法
2）路由器的配置

en
config t
ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252
(定義一個地址池c2601，其內包含了兩個空閑的合法IP地址，供NAT轉換時使用)
int e0/0
ip address 192.168.0.3 255.255.255.0
ip nat inside
exit
（設置以太口的IP地址，並設置其為連接內部網的埠）
interface s0/0
ip address 211.90.137.25 255.255.255.252
ip nat outside
exit
（設置廣域網埠的IP地址，並設置其為連接外部網的埠）
ip route 0.0.0.0 0.0.0.0 211.90.137.26
（設置動態路由）
access-list 2 permit 192.168.0.1 0.0.0.255
（建立訪問控制列表）
! Dynamic NAT
!
ip nat inside source list 2 pool c2610 overload
（建立動態地址翻譯）
line console 0
exec-timeout 0 0
!
line vty 0 4
end
wr
(保存所作的設置)
3． 工作站的配置
要求使用靜態IP地址，在TCP/IP屬性中進行設置，並設置關網為192.168.0.3（路由器以太口IP地址），設置DNS為接入商提供的地址，瀏覽器等上網工具中無需作任何特殊設置
二、 通過代理伺服器訪問INTERNET資源的配置

1． 總體的思路和設備連接方法
利用代理伺服器方式訪問INTERNET資源，優點是可以利用代理伺服器提供的CACHE服務來提高INTERNET的訪問速度和效率。比較適合工作站較多的單位使用。缺點是需要專門配備一台計算機作為代理伺服器，增加了投資成本；且較第一種法方還需多佔用兩個合法IP地址，網路安全性不高。
採用這種方案來訪問互聯網，設備連接方法如下：
代理伺服器上安裝兩塊網卡，一塊連接內部網，設置內部私有地址；另一塊連接路由器以太口，設置聯通分配的合法地址（211.90.139.42），並設置其網關為211.90.139.41（路由器以太口）
路由器以太口也設置聯通分配的合法IP地址（211.90.139.41）
這樣，將設備連接好後，在代理伺服器上安裝代理軟體，並在工作站上設置代理即可訪問INTERNET。
2． 路由器的配置
（1） 網路連接示意圖：
說明：在上圖中，單位內的所有計算機通過交換機直接與代理伺服器上的內部網網卡（192.168.0.4）通訊，然後在代理服務軟體的控制之下經過路由器訪問INTERNET。
（2）路由器的配置
en
config t
int e0/0
ip address 211.90.139.41 255.255.255.252
exit
（設置以太口的IP地址）
interface s0/0
ip address 211.90.137.25 255.255.255.252
exit
（設置廣域網埠的IP地址）
ip route 0.0.0.0 0.0.0.0 211.90.137.26
ip routing
（設置動態路由,並激活路由）
end
wr

⑤ 網路中路由器的應用與配置 介紹

網路中路由器的應用與配置

摘 要:路由器是一種連接多個網路或網段的網路設備,它能將不同網路或網段之間的數據信息進行「翻譯」,以使它們能夠相互「讀」懂對方的數據,並能夠高速的選擇信息傳送的線路,大大提高通信速度,減輕網路系統通信負荷,節約網路系統資源,提高網路系統暢通率,從而讓網路系統發揮出更大的效益來。

隨著Internet的迅猛發展,人們已經不滿足於僅在本地網路上共享信息,而希望最大限度地利用全球各個地區、各種類型的網路資源,路由技術在網路技術中已逐漸成為關鍵部分,路由器也隨之成為最重要的網路設備。在目前的情況下,任何一個有一定規模的計算機網路(如企業網、校園網、智能大廈等),無論採用的是快速以大網技術、FDDI技術、還是ATM技術,都離不開路由器,否則就無法正常運作和管理。

一、路由器的工作原理

網路中的設備用它們的網路地址(TCP/IP網路中為IP地址)互相通信。IP地址是與硬體地址無關的「邏輯」地址。路由器只根據IP地址來轉發數據。IP地址的結構有兩部分,一部分定義網路號,另一部分定義網路內的主機號。目前,在Internet網路中採用子網掩碼來確定IP地址中網路地址和主機地址。子網掩碼與IP地址一樣也是32bit,並且兩者是一一對應的,並規定,子網掩碼中數字為「1」所對應的IP地址中的部分為網路號,為「0」所對應的則為主機號。網路號和主機號合起來,才構成一個完整的IP地址。同一個網路中的主機IP地址,其網路號必須是相同的,這個網路稱為IP子網。通信只能在具有相同網路號的IP地址之間進行,要與其它IP子網的主機進行通信,則必須經過同一網路上的某個路由器或網關(gateway)出去。不同網路號的IP地址不能直接通信,即使它們接在一起,也不能通信。路由器有多個埠,用於連接多個IP子網。每個埠的IP地址的網路號要求與所連接的IP子網的網路號相同。不同的埠為不同的網路號,對應不同的IP子網,這樣才能使各子網中的主機通過自己子網的IP地址把要求出去的IP分組送到路由器上。

二、路由器的主要功能

路由動作包括兩項基本內容:尋徑和轉發。尋徑即判定到達目的地的最佳路徑,由路由選擇演算法來實現。為了判定最佳路徑,路由選擇演算法必須啟動並維護包含路由信息的路由表,其中路由信息依賴於所用的路由選擇演算法而不盡相同。路由選擇演算法將收集到的不同信息填入路由表中,根據路由表可將目的網路與下一站(nexthop)的關系告訴路由器。路由器間互通信息進行路由更新,更新維護路由表使之正確反映網路的拓撲變化,並由路由器根據量度來決定最佳路徑。轉發即沿尋徑好的最佳路徑傳送信息分組。路由器首先在路由表中查找,判明是否知道如何將分組發送到下一個站點(路由器或主機),如果路由器不知道如何發送分組,通常將該分組丟棄;否則就根據路由表的相應表項將分組發送到下一個站點,如果目的網路直接與路由器相連,路由器就把分組直接送到相應的埠上。這就是路由轉發協議(routed protocol)。路由轉發協議和路由選擇協議是相互配合又相互獨立的概念,前者使用後者維護的路由表,同時後者要利用前者提供的功能來發布路由協議數據分組。

三、路由選擇協議

典型的路由選擇方式有兩種:靜態路由和動態路由。靜態路由是在路由器中設置的固定的路由表。除非網路管理員干預,否則靜態路由不會發生變化。由於靜態路由不能對網路的改變作出反映,一般用於網路規模不大、拓撲結構固定的網路中。靜態路由的優點是簡單、高效、可靠。在所有的路由中,靜態路由優先順序最高。當動態路由與靜態路由發生沖突時,以靜態路由為准。動態路由是網路中的路由器之間相互通信,傳遞路由信息,利用收到的路由信息更新路由器表的過程。它能實時地適應網路結構的變化。如果路由更新信息表明發生了網路變化,路由選擇軟體就會重新計算路由,並發出新的路由更新信息。這些信息通過各個網路,引起各路由器重新啟動其路由演算法,並更新各自的路由表以動態地反映網路拓撲變化。動態路由適用於網路規模大、網路拓撲復雜的網路。當然,各種動態路由協議會不同程度地佔用網路帶寬和CPU資源。靜態路由和動態路由有各自的特點和適用范圍,因此在網路中動態路由通常作為靜態路由的補充。當一個分組在路由器中進行尋徑時,路由器首先查找靜態路由,如果查到則根據相應的靜態路由轉發分組;否則再查找動態路由。

四、路由演算法

路由演算法按照種類可分為以下幾種:靜態和動態、單路和多路、平等和分級、源路由和透明路由、域內和域間、鏈路狀態和距離向量。鏈路狀態演算法(也稱最短路徑演算法)發送路由信息到互聯網上所有的結點,然而對於每個路由器,僅發送它的路由表中描述了其自身鏈路狀態的那一部分。距離向量演算法(也稱為Bellman-Ford演算法)則要求每個路由器發送其路由表全部或部分信息,但僅發送到鄰近結點上。從本質上來說,鏈路狀態演算法將少量更新信息發送至網路各處,而距離向量演算法發送大量更新信息至鄰接路由器。由於鏈路狀態演算法收斂更快,因此它在一定程度上比距離向量演算法更不易產生路由循環。但另一方面,鏈路狀態演算法要求比距離向量演算法有更強的CPU能力和更多的內存空間,因此鏈路狀態演算法將會在實現時顯得更昂貴一些。除了這些區別,兩種演算法在大多數環境下都能很好地運行。

五、路由器安全維護

利用路由器的漏洞發起攻擊的事件經常發生。路由器攻擊會浪費CPU周期,誤導信息流量,使網路異常甚至陷於癱瘓。因此需要採取相應的安全措施來保護路由器的安全。

①避免口令泄露危機。 據卡內基梅隆大學的CERT/CC(計算機應急反應小組/控制中心)稱,80%的安全突破事件是由薄弱的口令引起的。黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助於防止這類漏洞。

②關閉IP直接廣播。 Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中,攻擊者使用假冒的`源地址向你的網路廣播地址發送一個「ICMP echo」請求。這要求所有的主機對這個廣播請求做出回應。這種情況會降低網路性能。使用no ip source-route關閉IP直接廣播地址。

③禁用不必要的服務。 強調路由器的安全性就不得不禁用一些不必要的本地服務,例如SNMP和DHCP這些用戶很少用到的服務,都可以禁用,只有絕對必要的時候才使用。另外,可能時關閉路由器的HTTP設置,因為HTTP使用的身份識別協議相當於向整個網路發送一個未加密的口令。然而,HTTP協議中沒有一個用於驗證口令或者一次性口令的有效規定。

④限制邏輯訪問。 限制邏輯訪問主要藉助於合理處置訪問控制列表,限制遠程終端會話有助於防止黑客獲得系統邏輯訪問。SSH是優先的邏輯訪問方法,但如果無法避免Telnet,不妨使用終端訪問控制,以限制只能訪問可信主機。因此,用戶需要給Telnet在路由器上使用的虛擬終端埠添加一份訪問列表。

⑤封鎖ICMP ping請求。 控制消息協議(ICMP)有助於排除故障,識別正在使用的主機,這樣為攻擊者提供了用來瀏覽網路設備、確定本地時間戳和網路掩碼以及對OS修正版本作出推測的信息。因此通過取消遠程用戶接收ping請求的應答能力,就能更容易的避開那些無人注意的掃描活動或者防禦那些尋找容易攻擊的目標的「腳本小子」(script kiddies)。

⑥關閉IP源路由。 IP協議允許一台主機指定數據包通過你的網路路由,而不是允許網路組件確定最佳的路徑。這個功能的合法應用是診斷連接故障。但是,這種用途很少得到應用,事實上,它最常見的用途是為了偵察目的對網路進行鏡像,或者用於攻擊者在專用網路中尋找一個後門。除非指定這項功能只能用於診斷故障,否則應該關閉這個功能。

⑦監控配置更改。 用戶在對路由器配置進行改動之後,需要對其進行監控。如果用戶使用SNMP,那麼一定要選擇功能強大的共用字元串,最好是使用提供消息加密功能的SNMP。如果不通過SNMP管理對設備進行遠程配置,用戶最好將SNMP設備配置成只讀。拒絕對這些設備進行寫訪問,用戶就能防止黑客改動或關閉介面。 此外,用戶還需將系統日誌消息從路由器發送至指定伺服器。

總之,路由器在網路中起著舉足輕重的作用,它工作在網路層,可以確定網路上各個數據包的目的地址,並將數據包發往通向目的地的最短路徑上,同時路由器還可以過濾數據包。

⑥ 路由器的安全配置操作

在互聯網時代，路由器成為了必不可少的存在，關於路由器的認識你知道多少呢？下面由我整理關於路由器的安全配置操作，希望能幫助到大家

隨著Internet的快速發展和政府、企業上網工程的日益推廣，越來越多的政府機關和企業在網路上建立網站來進行對外宣傳，這樣，網路上的安全問題就顯得日益突出。許多政府機關及企業都安裝了防火牆來保證網路伺服器的安全，卻往往忽視了站在最前沿的「衛士」——路由器。在網路上，一旦有人惡意進入你的路由器，將對你的網路安全產生極大的威脅。

實際上，路由器可以看作是一台具有中央處理器、內存、操作系統的計算機，將地理上分散的網路連接在一起，實現它們之間的網路通信。所以，路由器配置的是否正確、安全會對網路的通暢起著舉足輕重作用。在實際的工作中，我們接觸到比較多的是Cisco的路由器，下面就以Cisco路由器為例，看看路由器的配置。

Cisco路由器中的操作系統叫做互連網路操作系統（Internet Operating System），或簡稱為IOS，對Cisco路由器的配置可以通過手工使用連接到控制埠的終端或者利用Telnet會話等方式進行配置，常用的是利用Console口進行配置，將Cisco自帶的配置線和一台計算機的COM口連接好，在Windows 95/98或Windows NT中的超級終端進行連接，步驟如下:

1、 在超級終端中新建連接，在連接時使用下拉式菜單種選擇直連串口連接1（或者直連串口連接2），在COM口的屬性頁中按還原默認設置，將波特率設置為9600bps、數據位8位，奇偶校驗位無、停止位1，確認即可。

2、 確認之後，進入超級終端的控制窗口，這時你就可以利用這個連接對路由器進行配置。

如果你的路由器是第一次打開電源，路由器將會進入到初始化配置對話，這是可根據提示一步步地對路由器進行配置。配置時請注意你輸入的enable password和virtual terminal password，這兩個密碼將對你的路由器安全舉足輕重。enable password是你進入特權模式的口令，virtual terminal password是通過虛擬終端（Telnet訪問）時的密碼。

3、 如果你的.路由器已經配置完畢，請在特權模式下執行：(特權模式的提示符為「#」)

Router（config）>#sh run

你可能會看到有這么幾行：

line vty 0 4

password *****(*為你設置的密碼)

或

login local

這幾行配置的含義是：

第一行定義五個允許的Telnet訪問（編碼0-4），下一行表明進入到提示符前要輸入密碼*****或是以路由中設立的用戶名和密碼登錄。可以看出，利用路由器中的用戶名和密碼登錄將比直接利用密碼登錄安全。

下面我大致寫一下在路由器中建立用戶，設置進入密碼和虛終端密碼的步驟：

Router>

//進入到特權模式下

Router >enable

Password:

//進入到全局模式下

Router #conf t

Enter configuration commands, one per line. End with CNTL/Z.

//給自己的路由器起一個名字

Router (config)#hostname Myrouter

//將enable的密碼設置為ababab

Router (config)#enable password ababab

//在路由器中建立用戶名稱為aaa密碼為bbb

Myrouter (config)#username aaa password bbb

//配置Console口

Myrouter (config)#line con 0

//用路由器中的用戶名和密碼登錄

Myrouter (config-line)#login local

Myrouter (config-line)#flowcontrol hardware

Myrouter (config-line)#end

//配置遠程登錄虛終端0-4

Myrouter (config)#line vty 0 4

//用路由器中的用戶名和密碼登錄

Myrouter (config-line)#login local

Myrouter (config-line)#end

Myrouter (config)#end

//將剛才的設置存檔

Myrouter >write

配置完成之後，你可以用Telnet遠程登錄你的路由器來測試一下，看登錄和進入特權模式是否需要密碼。

⑦ 確保網路安全 企業路由器如何設置

隨著網路的普及，路由器已經成為了企業公司的必備，它配置是否安全，對於企業來說非常重要。但並不是每一個公司都會有專職的網管去管理，可能有些朋友還不了解路由器配置的具體步驟和方法，沒有關系，看完了本文之後，相信能讓你獲益良多。 一、廣域網WAN埠設置 WAN埠是路由器配置對外接到網路運營商的線路。WAN線路是寬頻接入的主要路徑，如果發生掉線或是擁塞，就會造成企業的寬頻接入中斷，這就會對企業造成很大的困擾。因此，WAN埠在安全的首要思維，就是如何確保線路的穩定，維持企業在各種情況下的運作。 大部份中小企業，由於上網人數較小、或是經費有限，因此大多採用單線ADSL即可。企業對帶寬的需要較大，或是對於網路要求較高的，例如服務業或是外貿行業，則可能採用相對費用較高的光纖。根據Qno俠諾支持用戶的經驗，發現以下情況，較傾向採用多WAN線路的配置：偶而需要大量上/下載：由於信息化的結果，很多企業需要不時進行大量的上下載的操作。例如成都的某礦產商貿公司每天下班時，需要上傳銷售報告及存貨數據，需要較多的時間。又例如位於寧波的某民營企業，經常需要從國外客戶的伺服器下載設計圖作為生產之用。當要進行下載時，網管一般都不希望受到一般用戶上網或下載影響，因此可申請兩條線路：一般情況下兩條線路都開放作為用戶上網用;但是當需要進行特別工作時，則可加以管制，保留特定的線路給大量上下載的工作，以確保重要的數據能准時傳送。採用多WAN配置後，網管加班在辦公室等待數據傳送的情況，就可大大減少了。 跨網問題，例如某企業在湖南設有公司機構，常常需要和在北京的總部建立VPN聯機，但是不知道為什麼，聯機總是很不穩定，常常數據還沒傳完，又得重新聯機。這種情況，很可能就是VPN建立跨過不同的運營商網路所產生的不穩定問題，例如總部採用網通的線路，而分支採用電信的線路，跨網帶寬不足，而產生的現象。這種情況，也可採用多WAN路由器解決，即總部同時接入網通及電信的線路，屬於網通線路的外點從網通的入口建立VPN，電信的外點則從電信線路建VPN，這樣即可解決跨網帶寬小或不穩定的情況。 需要備援時：多WAN線路的另一個優點是提供備援功能。一個常見的情況是有些地區運營商會增送光纖用戶ADSL線路，這時就可以光纖配合ADSL作備援，在前者發生故障時，以ADSL先頂著用。有的用戶則希望用不同運營商的線路，這樣在A運營商線路或機房發生問題時，可以B運營商線路替代。對於某些行業，例如媒體行業，需要隨時可以上網，這個功能就顯得尢為重要。 當ADSL帶寬不足時：一般企業用ADSL來的多，根據統計顯示中小企業寬頻用戶增加最多的就是採用ADSL上網。但有些地區提供的ADSL相對帶寬顯得較小，例如64K/64K的線路，對於企業應用顯然不足，不過申請光纖又比幾條ADSL還來得貴，在這種情況下，利用多WAN路由器配置匯聚多條ADSL線路，不失為一可行又省錢的方法。由於廣域網端為企業上網唯一的路線，因此對於企業上網有決定性的重要。 二、區域網LAN埠設置 LAN埠是對內接到企業用戶的線路，有些路由器配置本身有區域網埠，可下接交換機；有的網管則會將路由器配置先接到骨幹交換機，再向下接到一般的交換機。以上這兩種作法均可，後者適合較大的吞吐量的應用情況，一般的企業應用，路由器配置的局域埠是可以隨著帶寬轉發的。因此在硬體配置，這是較為簡單的。Qno俠諾技術服務人員的經驗指出，要進行一個好的安全網路的配置，IP的管理是頂重要的。IP就是計算機在互聯網的地址，因此要能有效管理地址，才能預防攻擊或針對有問題的計算機加以管制。對於網管而言，在IP管理方面要注意的事項，主要為計算機採用固定IP地址、DHCP伺服器發放固定IP、防止未允許的計算機上網及群組管理等四個重要項目，以下分別進行說明： 計算機採用固定IP地址：計算機採用固定IP地址，是最嚴密的配置方式。這個作法，必須要求用戶在計算機中手動鍵入IP地址相關數據。這樣做的好處是每台機器的IP都必須是事先指定，沒有事先指定的IP，則無法上網，外來的用戶或是計算機不能輕易地通過企業網路上網。不過對於用戶而言，必須要設定固定IP，到其它場合又要重新設定，對於部份常需要移動的用戶，例如業務人員或是高階主管，造成不小的困擾。DHCP伺服器發放固定IP：DHCP伺服器的好處是用戶無需在計算機上作任何設置，對於用戶較方便。但是DHCP的缺點是若不加以管制，隨便一個用戶也能進入企業的網路，也容易發動對內部的攻擊，造成影響。因此對於企業而言，較好的方式是通過DHCP發放IP地址，但同時限定計算機能取得的IP地址，以便進行管理。Qno俠諾路由器配置的IP/MAC綁定功能，即可以根據網管的配置，認明計算機的MAC地址發放特定的IP，這樣就可針對IP進行管理。同時IP/MAC綁定功能也可防止用戶修改IP，以取得較高許可權問題，錯誤的MAC/IP組合，將會被路由器「封鎖錯誤MAC地址」阻擋，這個功能也可防止ARP攻擊。 防止未允許的計算機上網：對於網管而言，未被管制的計算機，經常引發安全問題。有些用戶會自行帶入中毒的計算機，甚至其它樓層用戶通過無線網路進入公司網路。這樣的情況，可通過防止未允許的計算機上網來解決。

⑧ 網路要保證安全在設備上怎樣做，如路由器交換機的配置

路由器安全策略示例：

1. 路由器上不得配置用戶賬戶。

2. 路由器上的enable password命令必須以一種安全的加密形式保存。

3. 禁止IP的直接廣播。

4. 路由器應當阻止源地址為非法地址的數據包。

5. 在本單位的業務需要增長時，添加相應的訪問規則。

6. 路由器應當放置在安全的位置，對其物理訪問僅限於所授權的個人。

7. 每一台路由器都必須清楚地標識下面的聲明：

「注意：禁止對該網路設備的非授權訪問。您必須在獲得明確許可的情況下才能訪問或配置該設備。在此設備上執行的所有活動必須加以記錄，對該策略的違反將受到紀律處分，並有可能被訴諸於法律。」

每一台網路交換機必須滿足以下的配置標准：

1. 交換機上不得配置用戶賬戶。

2. 交換機上的enable password命令必須以一種安全的加密形式保存。

3. 如果交換機的MAC水平的地址能夠鎖定，就應當啟用此功能。

4. 如果在一個埠上出現新的或未注冊的MAC地址，就應當禁用此埠。

5. 如果斷開鏈接後又重新建立鏈接，就應當生成一個SNMP trap.

6. 交換機應當放置在安全的位置，對其物理訪問僅限於所授權的個人。

7. 交換機應當禁用任何Web 伺服器軟體，如果需要這種軟體來維護交換機的話，應當啟動伺服器來配置交換機，然後再禁用它。對管理員功能的所有訪問控制都應當啟用。

8. 每一台交換機都必須清楚地標識下面的聲明：

「注意：禁止對該網路設備的非授權訪問。您必須在獲得明確許可的情況下才能訪問或配置該設備。在此設備上執行的所有活動必須加以記錄，對該策略的違反將受到紀律處分，並有可能被訴諸於法律。」這些安全要求未必適合你單位的情況，僅供參考。

⑨ 關於思科交換機路由器的網路安全報告

我可以提示您從三個方面寫
1：從硬體放置位置是否安全。
2：查看內存，CPU資源使情況，如過高可以能受到干擾要去檢查是否受到功擊
3：制定一個安全管理方案