路由器网络安全配置实验报告

① 无线路由器安全设置方法

无线路由器方面了我们上网，也让我们陷入网络危险之中，下面我为大家整理了无线路由器安全设置方法，希望能帮到大家!

无线路由器安全设置：WEP加密,还是WPA加密?

无线网络加密是通过对无线电波里的数据加密提供安全性,主要用于无线局域网中链路层信息数据的保密?现在大多数的无线设备具有WEP加密和WAP加密功能,那么我们使用WEP加密,还是WAP加密呢?显然WEP出现得比WAP早,WAP比WEP安全性更好一些。

WEP采用对称加密机制,数据的加密和解密采用相同的密钥和加密算法?启用加密后,两个无线网络设备要进行通信,必须均配置为使用加密,具有相同的密钥和算法?WEP支持64位和128位加密,对于64位加密,密钥为10个十六进制字符(0-9和A-F)或5个ASCII字符;对于128位加密,密钥为26个十六进制字符或13个ASCII字符。

无线路由器安全设置：如何让WEP更安全

(1)使用多组WEP密钥,使用一组固定WEP密钥,将会非常不安全,使用多组WEP密钥会提高安全性,但是请注意WEP密钥是保存在Flash中,所以某些黑客取得您的网络上的任何一个设备,就可以进入您的网络;

(2)如果你使用的是旧型的无线路由器,且只支持WEP,你可以使用128位的WEPKey,这样会让你的无线网络更安全

(3)定期更换你的WEP密钥

(4)你可以去制造商的网站下载一个固件升级,升级后就能添加WPA支持

WPA(Wi-Fi保护接入)能够解决WEP所不能解决的安全问题?简单来说,WEP的安全性不高的问题来源于网络上各台设备共享使用一个密钥?该密钥存在不安全因素,其调度算法上的弱点让恶意黑客能相对容易地拦截并破坏WEP密码,进而访问到局域网的内部资源?、。

WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术?由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥?其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥?然后与WEP一样将此密钥用于RC4加密处理。

通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的.密钥加密而成?无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的?WPA还追加了防止数据中途被篡改的功能和认证功能?由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决?WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵?作为802.11i标准的子集,WPA包含了认证?加密和数据完整性校验三个组成部分,是一个完整的安全性方案。

在这里要提醒各位,许多无线路由器或AP在出厂时,数据传输加密功能是关闭的,如果你拿来就用而不作进一步设置的话,那么你的无线网络就成为了一个“不设防"的摆设。我们给出的建议是:采用WPA加密方式。

无线路由器安全设置：MAC地址—网络世界的DNA

由于每个无线网卡都有世界上唯一的物理地址MAC,因此可以在无线AP(或无线路由器)中手工设置一组允许访问的主机的无线网卡MAC地址列表,实现物理地址过滤?这要求我们必需随时更新AP中的MAC地址列表。

路由器设置MAC地址过滤对于大型无线网络来说工作量太大,但对于小型无线网络则不然,因此我们应不怕麻烦?MAC地址在理论上是可以伪造,因此它是较低级别的认证方式。我们给出的建议是:对于家庭及小型办公无线网络,用户不是很多,应该设置MAC地址过滤功能。

无线路由器安全设置：SSID—隐藏自己

无线路由器一般都会提供“允许SSID广播"功能?如果你不想让自己的无线网络被别人的无线网卡“轻易"搜索到,那么最好“禁止SSID广播"?SSID通俗地说便是给无线网络所取的名字,它的作用是区分不同的无线网络。

SSID是无线网卡发现无线网络的第一要素,开启广播SSID以后,在无线网络的效覆盖范围内,无线网卡会自动找到该网络,并尝试与之连接?若我们不愿将自己的无线网络曝露在大庭广众之内,我们应想到隐藏自己无无线网络的SSID,应把“广播SSID"这项功能关闭。“广播SSID"关闭以后,无线网卡不会自动找到无线网络,到接入到这个无线网络需要手动添加SSID?我们给出的建议是:隐藏SSID。

无线路由器安全设置：如何让无线网络更安全

据互联网的资料,使用以下软件:NetworkStumbler?WildPacketsAiroPeekNX?OmniPeek4.1和WinAircrack等,这些软件只要有足够长的时间来抓取正在通信中的无线网络通信信号,就可以破解包括WEP加密，WPA加密，MAC过滤，SSID隐藏等无线网络安全设置。这听起来不免令我们失望,那么如何让无线网络更安全?

确保尽可能的让无线接入网络不要依赖于WEP等技术而尽可能的采取其他更为安全手段,目前实现这个目标的方法主要有VPN技术,如:使用安全协议如点对点隧道协议(PPTP)或者第二层隧道协议(L2TP),使用IPSec,SSL等VPN技术。这样既可以获得访问控制功能,也可以获得端到端(程序至程序)的加密功能。

VPN技术这种端到端的安全解决方案对小型网络和个人应用来说可能部署起来过于复杂和没有技术方面的支持,这是我们小型用户感到为难的地方,但基于WEB方式SSLVPN技术相对来说较容易一些。

无线路由器安全设置：自动获取IP,还是固定IP?

DHCP()动态主机设定协议的功能就是可在局域网内自动为每台电脑分配IP地址,不需要用户设置IP地址?子网掩码以及其他所需要的TCP/IP参数。它分为两个部份:一个是服务器端(在这里指的是具有DHCP服务功能的无线AP或无线路由器),而另一个是客户端(用户的个人电脑等无线客户端设备)?所有的IP网路设定资料都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从DHCP服务器分配下来的IP环境资料。

如果无线路由器或无线AP启用了DHCP功能,为接入无线网络的主机提供动态IP,那么别人就能很容易使用你的无线网络。因此,禁用DHCP功能对个人或企业无线网络而言很有必要,除非在机场?酒吧等公共无线“热点"地区,则应打开DHCP功能?一般在无线路由器的“DHCP服务器"设置项下将DHCP服务器设定为“不启用"即可?这样既使能找到该无线网络信号,仍然不能使用网络。我们给出的建议是:采用不是很常用私有网段的静态方式,最好不要用192.168.0.0-192.168.0.255这个常用私有网段,让人一猜就中。

② 路由器怎么设置无线网络安全设置

1、宽带网络的总线连接路由器的WAN口，路由器的LAN口连接电脑。
2、启动设备后，打开浏览器，在地址栏中输入192.168.1.1进入无线路由器设置界面。（如进不了请翻看路由器底部铭牌或者是路由器使用说明书，不同型号路由器设置的默认都不一样。）
3、设置界面出现一个登录路由器的帐号及密码，输入默认帐号和密码admin，也可以参考说明书；
4、登录成功之后选择设置向导的界面，默认情况下会自动弹出；
5、选择设置向导之后会弹出一个窗口说明，通过向导可以设置路由器的基本参数，直接点击下一步即可；
6、根据设置向导一步一步设置，选择上网方式，通常ADSL用户则选择第一项PPPoE，如果用的是其他的网络服务商则根据实际情况选择下面两项，如果不知道该怎么选择的话，直接选择第一项自动选择即可，方便新手操作，选完点击下一步；
7、输入从网络服务商申请到的账号和密码，输入完成后直接下一步；
8、设置wifi密码，尽量字母数字组合比较复杂一点不容易被蹭网。
9、输入正确后会提示是否重启路由器，选择是确认重启路由器，重新启动路由器后即可正常上网。

③ 腾达无线路由器设置与安全

无线路由器的配置是网络新手非常关心的话题，如何才能正确的配置无线路由器呢?下面我以腾达无线路由器为例，具体图示介绍设置过程，腾达设置无线连接几乎可以代表全部路由器，因为步骤都差不多，希望对您有所帮助！

一、无线基本设置

点击左侧的无线设置—无线基本设置

(1)信道

路由器当前使用的信道，从下拉列表中可以选择 其它 有效工作信道，可选项在1-13之间。

(2)广播(SSID)

选择关闭禁止路由器广播SSID，无线客户端将无法扫描到路由器的SSID。选择关闭后，客户端必须知道路由器的SSID才能与路由器进行通讯，默认为开启。

(3)网络模式

根据无线客户端类型选择其中一种模式，一般如果不知道的话就选择默认的混合模式。

(4)SSID

服务集合标识符、无线信号的网络名称，可修改，SSID为必填项。

(5)启用无线功能

勾选后，启用无线功能，如果您不想使用无线，可以取消选择，所有与无线相关的功能将禁止。

二、无线高级设置

点击点击左侧无线设置——无线高级设，如果不是很懂高级选项的话建议用默认的。

(1)ASPDCapable

自动省电模式，默认为关闭。

(2)TX功率

该项用来设置无线发射功率等级。默认值为100。

(3)Fragment阀值

设定一个分片阀值，一旦无线数据包超过这个阀值将其分成多个片段，片段的大小和分片阀值，默认值为2346，建议不要更改默认值。

(4)Beacon间隔

设置AP发送Beacon包频率，一般来说，时间设置越小，无线客户端接入的速度越快，时间设置越大，有助于 无线网络 数据传输效能提高，默认值为100，建议不要更改默认值。

(5)RTS阀值

RTS(Requesttosend)，当数据包的大小超过这个阀值时，使用CTS/RTS机制，降低发生冲突的可能性。在存在干扰长距离客户端接入情况下，可以设置相对较小的RTS值，在一般Soho办公场所建议不要更改默认值，否则会影响AP性能。

(6)BG保护模式

有利于较慢的11b/g无线客户端在复杂的多种模式下能顺利连接到11n无线网络，默认为“自动”。

(7)基本数据速率

根据实际需要，调整无线基本传输速率。默认值为1-2-5.5-11Mbps。建议不要更改默认值。

(8)WMM-Capable

开启时可以提高无线多媒体数据传输性能，如果您对WMM不熟悉，请设置为开启。

三、无线安全设置

点击左侧无线设置——无线安全设置。最常用的三种加密方式，其中包括MixedWEP加密、WPA-个人、WPA2-个人等。

(1)选择SSID

选择要设置的SSID，可以分别对主SSID和次SSID进行安全加密设置。

(2)安全模式

可从列表中选择相应的安全加密模式，本路由器支持MixedWEP加密、WPA-个人、WPA2-个人。一般我们建议选择WPA2-个人能有效防止被蹭网解除密码。

(3)WPA加密规则

有TKIP、AES、TKIP&AES。推荐使用AES。

(4)密钥

请输入您想使用的加密字符串，有效字符为ASCII码字符。长度为8到63个。

腾达无线路由器设置的全过程就每个方面的设置都有图示作参考，大家可以按部就班的试操作一下，相信不会很困难。

腾达无线路由器的相关 文章 ：

1. 腾达无线路由器连接不上信号怎么办

2. 腾达无线路由器设置与安全

3. 关于腾达无线路由器分配网速的设置方法

4. 腾达路由器怎么设置无线信号强度

5. 腾达无线路由器怎么防蹭网

④ 给个路由器配置案例并分析

一、直接通过路由器访问INTERNET资源的配置
1． 总体思路和设备连接方法
一般情况下，单位内部的局域网都使用INTERNET上的保留地址：
10.0.0.0/8：10.0.0.0～10.255.255.255
172.16.0.0/12：172.16.0.0～172.31.255.255
192.168.0.0/16：192.168.0.0～192.168.255.255
在常规情况下，单位内部的工作站在直接利用路由对外访问时，会因工作站使用的是互联网上的保留地址，而被路由器过滤掉，从而导致无法访问互联网资源。解决这一问题的办法是利用路由操作系统提供的NAT（Network Address Translation）地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。这样做的好处是无需配备代理服务器，减少投资，还可以节约合法IP地址，并提高了内部网络的安全性。
NAT有两种类型：Single模式和global模式。
使用NAT的single模式，就像它的名字一样，可以将众多的本地局域网主机映射为一个Internet地址。局域网内的所有主机对外部Internet网络而言，都被看做一个Internet用户。本地局域网内的主机继续使用本地地址。
使用NAT的global模式，路由器的接口将众多的本地局域网主机映射为一定的Internet地址范围（IP地址池）。当本地主机端口与Internet上的主机连接时，IP地址池中的某个IP地址被自动分配给该本地主机，连接中断后动态分配的IP地址将被释放，释放的IP地址可被其他本地主机使用。
下面以我单位的网络环境为例，将配置方法及过程列示出来，供大家参考。
我单位利用联通光缆（V.35）接入INTERNET的，路由器是CISCO2610，局域网采用的是INTEL550百兆交换机，联通向我们提供了下列四个IP地址：
211.90.137.25（255.255.255.252） 用于本地路由器的广域网端口
211.90.137.26（255.255.255.252） 用于对方（联通）的端口
211.90.139.41（255.255.255.252） 供自己支配
211.90.139.42（255.255.255.252） 供自己支配
2． 路由器的配置
（1） 网络连接示意图：
说明：校内所有的工作站都与交换机连接，路由器也通过以太口连接在内部交换机上，路由器上以太口使用内部私有地址，光纤的两端分别使用了联通分配的两个有效IP地址。在这种连接方式下，只要在路由器内部设置NAT，便可以使得单位内部的所有工作站访问INTERNTE了，在每台工作站上只需设置网关指向路由器的以太口（192.168.0.3）即可上网，无需设代理，并节省了两个有效IP地址可供自己自由支配（如建立单位自已的WEB和E-MAIL服务器）。但也存在缺点：不能享受代理服务器提供的CACHE服务来提高访问速度。所以本配置方案适合工作站数量较少的单位，对于单位内部工作站数量较多的情况可以使用后面介绍的两种方法。路由器上具体配置如下：
1． 总体思路和设备连接方法
2）路由器的配置

en
config t
ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252
(定义一个地址池c2601，其内包含了两个空闲的合法IP地址，供NAT转换时使用)
int e0/0
ip address 192.168.0.3 255.255.255.0
ip nat inside
exit
（设置以太口的IP地址，并设置其为连接内部网的端口）
interface s0/0
ip address 211.90.137.25 255.255.255.252
ip nat outside
exit
（设置广域网端口的IP地址，并设置其为连接外部网的端口）
ip route 0.0.0.0 0.0.0.0 211.90.137.26
（设置动态路由）
access-list 2 permit 192.168.0.1 0.0.0.255
（建立访问控制列表）
! Dynamic NAT
!
ip nat inside source list 2 pool c2610 overload
（建立动态地址翻译）
line console 0
exec-timeout 0 0
!
line vty 0 4
end
wr
(保存所作的设置)
3． 工作站的配置
要求使用静态IP地址，在TCP/IP属性中进行设置，并设置关网为192.168.0.3（路由器以太口IP地址），设置DNS为接入商提供的地址，浏览器等上网工具中无需作任何特殊设置
二、 通过代理服务器访问INTERNET资源的配置

1． 总体的思路和设备连接方法
利用代理服务器方式访问INTERNET资源，优点是可以利用代理服务器提供的CACHE服务来提高INTERNET的访问速度和效率。比较适合工作站较多的单位使用。缺点是需要专门配备一台计算机作为代理服务器，增加了投资成本；且较第一种法方还需多占用两个合法IP地址，网络安全性不高。
采用这种方案来访问互联网，设备连接方法如下：
代理服务器上安装两块网卡，一块连接内部网，设置内部私有地址；另一块连接路由器以太口，设置联通分配的合法地址（211.90.139.42），并设置其网关为211.90.139.41（路由器以太口）
路由器以太口也设置联通分配的合法IP地址（211.90.139.41）
这样，将设备连接好后，在代理服务器上安装代理软件，并在工作站上设置代理即可访问INTERNET。
2． 路由器的配置
（1） 网络连接示意图：
说明：在上图中，单位内的所有计算机通过交换机直接与代理服务器上的内部网网卡（192.168.0.4）通讯，然后在代理服务软件的控制之下经过路由器访问INTERNET。
（2）路由器的配置
en
config t
int e0/0
ip address 211.90.139.41 255.255.255.252
exit
（设置以太口的IP地址）
interface s0/0
ip address 211.90.137.25 255.255.255.252
exit
（设置广域网端口的IP地址）
ip route 0.0.0.0 0.0.0.0 211.90.137.26
ip routing
（设置动态路由,并激活路由）
end
wr

⑤ 网络中路由器的应用与配置 介绍

网络中路由器的应用与配置

摘 要:路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,并能够高速的选择信息传送的线路,大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。

随着Internet的迅猛发展,人们已经不满足于仅在本地网络上共享信息,而希望最大限度地利用全球各个地区、各种类型的网络资源,路由技术在网络技术中已逐渐成为关键部分,路由器也随之成为最重要的网络设备。在目前的情况下,任何一个有一定规模的计算机网络(如企业网、校园网、智能大厦等),无论采用的是快速以大网技术、FDDI技术、还是ATM技术,都离不开路由器,否则就无法正常运作和管理。

一、路由器的工作原理

网络中的设备用它们的网络地址(TCP/IP网络中为IP地址)互相通信。IP地址是与硬件地址无关的“逻辑”地址。路由器只根据IP地址来转发数据。IP地址的结构有两部分,一部分定义网络号,另一部分定义网络内的主机号。目前,在Internet网络中采用子网掩码来确定IP地址中网络地址和主机地址。子网掩码与IP地址一样也是32bit,并且两者是一一对应的,并规定,子网掩码中数字为“1”所对应的IP地址中的部分为网络号,为“0”所对应的则为主机号。网络号和主机号合起来,才构成一个完整的IP地址。同一个网络中的主机IP地址,其网络号必须是相同的,这个网络称为IP子网。通信只能在具有相同网络号的IP地址之间进行,要与其它IP子网的主机进行通信,则必须经过同一网络上的某个路由器或网关(gateway)出去。不同网络号的IP地址不能直接通信,即使它们接在一起,也不能通信。路由器有多个端口,用于连接多个IP子网。每个端口的IP地址的网络号要求与所连接的IP子网的网络号相同。不同的端口为不同的网络号,对应不同的IP子网,这样才能使各子网中的主机通过自己子网的IP地址把要求出去的IP分组送到路由器上。

二、路由器的主要功能

路由动作包括两项基本内容:寻径和转发。寻径即判定到达目的地的最佳路径,由路由选择算法来实现。为了判定最佳路径,路由选择算法必须启动并维护包含路由信息的路由表,其中路由信息依赖于所用的路由选择算法而不尽相同。路由选择算法将收集到的不同信息填入路由表中,根据路由表可将目的网络与下一站(nexthop)的关系告诉路由器。路由器间互通信息进行路由更新,更新维护路由表使之正确反映网络的拓扑变化,并由路由器根据量度来决定最佳路径。转发即沿寻径好的最佳路径传送信息分组。路由器首先在路由表中查找,判明是否知道如何将分组发送到下一个站点(路由器或主机),如果路由器不知道如何发送分组,通常将该分组丢弃;否则就根据路由表的相应表项将分组发送到下一个站点,如果目的网络直接与路由器相连,路由器就把分组直接送到相应的端口上。这就是路由转发协议(routed protocol)。路由转发协议和路由选择协议是相互配合又相互独立的概念,前者使用后者维护的路由表,同时后者要利用前者提供的功能来发布路由协议数据分组。

三、路由选择协议

典型的路由选择方式有两种:静态路由和动态路由。静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各个网络,引起各路由器重新启动其路由算法,并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然,各种动态路由协议会不同程度地占用网络带宽和CPU资源。静态路由和动态路由有各自的特点和适用范围,因此在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时,路由器首先查找静态路由,如果查到则根据相应的静态路由转发分组;否则再查找动态路由。

四、路由算法

路由算法按照种类可分为以下几种:静态和动态、单路和多路、平等和分级、源路由和透明路由、域内和域间、链路状态和距离向量。链路状态算法(也称最短路径算法)发送路由信息到互联网上所有的结点,然而对于每个路由器,仅发送它的路由表中描述了其自身链路状态的那一部分。距离向量算法(也称为Bellman-Ford算法)则要求每个路由器发送其路由表全部或部分信息,但仅发送到邻近结点上。从本质上来说,链路状态算法将少量更新信息发送至网络各处,而距离向量算法发送大量更新信息至邻接路由器。由于链路状态算法收敛更快,因此它在一定程度上比距离向量算法更不易产生路由循环。但另一方面,链路状态算法要求比距离向量算法有更强的CPU能力和更多的内存空间,因此链路状态算法将会在实现时显得更昂贵一些。除了这些区别,两种算法在大多数环境下都能很好地运行。

五、路由器安全维护

利用路由器的漏洞发起攻击的事件经常发生。路由器攻击会浪费CPU周期,误导信息流量,使网络异常甚至陷于瘫痪。因此需要采取相应的安全措施来保护路由器的安全。

①避免口令泄露危机。 据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。

②关闭IP直接广播。 Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的`源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况会降低网络性能。使用no ip source-route关闭IP直接广播地址。

③禁用不必要的服务。 强调路由器的安全性就不得不禁用一些不必要的本地服务,例如SNMP和DHCP这些用户很少用到的服务,都可以禁用,只有绝对必要的时候才使用。另外,可能时关闭路由器的HTTP设置,因为HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

④限制逻辑访问。 限制逻辑访问主要借助于合理处置访问控制列表,限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法,但如果无法避免Telnet,不妨使用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。

⑤封锁ICMP ping请求。 控制消息协议(ICMP)有助于排除故障,识别正在使用的主机,这样为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。因此通过取消远程用户接收ping请求的应答能力,就能更容易的避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。

⑥关闭IP源路由。 IP协议允许一台主机指定数据包通过你的网络路由,而不是允许网络组件确定最佳的路径。这个功能的合法应用是诊断连接故障。但是,这种用途很少得到应用,事实上,它最常见的用途是为了侦察目的对网络进行镜像,或者用于攻击者在专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。

⑦监控配置更改。 用户在对路由器配置进行改动之后,需要对其进行监控。如果用户使用SNMP,那么一定要选择功能强大的共用字符串,最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置,用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问,用户就能防止黑客改动或关闭接口。 此外,用户还需将系统日志消息从路由器发送至指定服务器。

总之,路由器在网络中起着举足轻重的作用,它工作在网络层,可以确定网络上各个数据包的目的地址,并将数据包发往通向目的地的最短路径上,同时路由器还可以过滤数据包。

⑥ 路由器的安全配置操作

在互联网时代，路由器成为了必不可少的存在，关于路由器的认识你知道多少呢？下面由我整理关于路由器的安全配置操作，希望能帮助到大家

随着Internet的快速发展和政府、企业上网工程的日益推广，越来越多的政府机关和企业在网络上建立网站来进行对外宣传，这样，网络上的安全问题就显得日益突出。许多政府机关及企业都安装了防火墙来保证网络服务器的安全，却往往忽视了站在最前沿的“卫士”——路由器。在网络上，一旦有人恶意进入你的路由器，将对你的网络安全产生极大的威胁。

实际上，路由器可以看作是一台具有中央处理器、内存、操作系统的计算机，将地理上分散的网络连接在一起，实现它们之间的网络通信。所以，路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用。在实际的工作中，我们接触到比较多的是Cisco的路由器，下面就以Cisco路由器为例，看看路由器的配置。

Cisco路由器中的操作系统叫做互连网络操作系统（Internet Operating System），或简称为IOS，对Cisco路由器的配置可以通过手工使用连接到控制端口的终端或者利用Telnet会话等方式进行配置，常用的是利用Console口进行配置，将Cisco自带的配置线和一台计算机的COM口连接好，在Windows 95/98或Windows NT中的超级终端进行连接，步骤如下:

1、 在超级终端中新建连接，在连接时使用下拉式菜单种选择直连串口连接1（或者直连串口连接2），在COM口的属性页中按还原默认设置，将波特率设置为9600bps、数据位8位，奇偶校验位无、停止位1，确认即可。

2、 确认之后，进入超级终端的控制窗口，这时你就可以利用这个连接对路由器进行配置。

如果你的路由器是第一次打开电源，路由器将会进入到初始化配置对话，这是可根据提示一步步地对路由器进行配置。配置时请注意你输入的enable password和virtual terminal password，这两个密码将对你的路由器安全举足轻重。enable password是你进入特权模式的口令，virtual terminal password是通过虚拟终端（Telnet访问）时的密码。

3、 如果你的.路由器已经配置完毕，请在特权模式下执行：(特权模式的提示符为“#”)

Router（config）>#sh run

你可能会看到有这么几行：

line vty 0 4

password *****(*为你设置的密码)

或

login local

这几行配置的含义是：

第一行定义五个允许的Telnet访问（编码0-4），下一行表明进入到提示符前要输入密码*****或是以路由中设立的用户名和密码登录。可以看出，利用路由器中的用户名和密码登录将比直接利用密码登录安全。

下面我大致写一下在路由器中建立用户，设置进入密码和虚终端密码的步骤：

Router>

//进入到特权模式下

Router >enable

Password:

//进入到全局模式下

Router #conf t

Enter configuration commands, one per line. End with CNTL/Z.

//给自己的路由器起一个名字

Router (config)#hostname Myrouter

//将enable的密码设置为ababab

Router (config)#enable password ababab

//在路由器中建立用户名称为aaa密码为bbb

Myrouter (config)#username aaa password bbb

//配置Console口

Myrouter (config)#line con 0

//用路由器中的用户名和密码登录

Myrouter (config-line)#login local

Myrouter (config-line)#flowcontrol hardware

Myrouter (config-line)#end

//配置远程登录虚终端0-4

Myrouter (config)#line vty 0 4

//用路由器中的用户名和密码登录

Myrouter (config-line)#login local

Myrouter (config-line)#end

Myrouter (config)#end

//将刚才的设置存盘

Myrouter >write

配置完成之后，你可以用Telnet远程登录你的路由器来测试一下，看登录和进入特权模式是否需要密码。

⑦ 确保网络安全 企业路由器如何设置

随着网络的普及，路由器已经成为了企业公司的必备，它配置是否安全，对于企业来说非常重要。但并不是每一个公司都会有专职的网管去管理，可能有些朋友还不了解路由器配置的具体步骤和方法，没有关系，看完了本文之后，相信能让你获益良多。 一、广域网WAN端口设置 WAN端口是路由器配置对外接到网络运营商的线路。WAN线路是宽带接入的主要路径，如果发生掉线或是拥塞，就会造成企业的宽带接入中断，这就会对企业造成很大的困扰。因此，WAN端口在安全的首要思维，就是如何确保线路的稳定，维持企业在各种情况下的运作。 大部份中小企业，由于上网人数较小、或是经费有限，因此大多采用单线ADSL即可。企业对带宽的需要较大，或是对于网络要求较高的，例如服务业或是外贸行业，则可能采用相对费用较高的光纤。根据Qno侠诺支持用户的经验，发现以下情况，较倾向采用多WAN线路的配置：偶而需要大量上/下载：由于信息化的结果，很多企业需要不时进行大量的上下载的操作。例如成都的某矿产商贸公司每天下班时，需要上传销售报告及存货数据，需要较多的时间。又例如位于宁波的某民营企业，经常需要从国外客户的服务器下载设计图作为生产之用。当要进行下载时，网管一般都不希望受到一般用户上网或下载影响，因此可申请两条线路：一般情况下两条线路都开放作为用户上网用;但是当需要进行特别工作时，则可加以管制，保留特定的线路给大量上下载的工作，以确保重要的数据能准时传送。采用多WAN配置后，网管加班在办公室等待数据传送的情况，就可大大减少了。 跨网问题，例如某企业在湖南设有公司机构，常常需要和在北京的总部建立VPN联机，但是不知道为什么，联机总是很不稳定，常常数据还没传完，又得重新联机。这种情况，很可能就是VPN建立跨过不同的运营商网络所产生的不稳定问题，例如总部采用网通的线路，而分支采用电信的线路，跨网带宽不足，而产生的现象。这种情况，也可采用多WAN路由器解决，即总部同时接入网通及电信的线路，属于网通线路的外点从网通的入口建立VPN，电信的外点则从电信线路建VPN，这样即可解决跨网带宽小或不稳定的情况。 需要备援时：多WAN线路的另一个优点是提供备援功能。一个常见的情况是有些地区运营商会增送光纤用户ADSL线路，这时就可以光纤配合ADSL作备援，在前者发生故障时，以ADSL先顶着用。有的用户则希望用不同运营商的线路，这样在A运营商线路或机房发生问题时，可以B运营商线路替代。对于某些行业，例如媒体行业，需要随时可以上网，这个功能就显得尢为重要。 当ADSL带宽不足时：一般企业用ADSL来的多，根据统计显示中小企业宽带用户增加最多的就是采用ADSL上网。但有些地区提供的ADSL相对带宽显得较小，例如64K/64K的线路，对于企业应用显然不足，不过申请光纤又比几条ADSL还来得贵，在这种情况下，利用多WAN路由器配置汇聚多条ADSL线路，不失为一可行又省钱的方法。由于广域网端为企业上网唯一的路线，因此对于企业上网有决定性的重要。 二、局域网LAN端口设置 LAN端口是对内接到企业用户的线路，有些路由器配置本身有局域网端口，可下接交换机；有的网管则会将路由器配置先接到骨干交换机，再向下接到一般的交换机。以上这两种作法均可，后者适合较大的吞吐量的应用情况，一般的企业应用，路由器配置的局域端口是可以随着带宽转发的。因此在硬件配置，这是较为简单的。Qno侠诺技术服务人员的经验指出，要进行一个好的安全网络的配置，IP的管理是顶重要的。IP就是计算机在互联网的地址，因此要能有效管理地址，才能预防攻击或针对有问题的计算机加以管制。对于网管而言，在IP管理方面要注意的事项，主要为计算机采用固定IP地址、DHCP服务器发放固定IP、防止未允许的计算机上网及群组管理等四个重要项目，以下分别进行说明： 计算机采用固定IP地址：计算机采用固定IP地址，是最严密的配置方式。这个作法，必须要求用户在计算机中手动键入IP地址相关数据。这样做的好处是每台机器的IP都必须是事先指定，没有事先指定的IP，则无法上网，外来的用户或是计算机不能轻易地通过企业网络上网。不过对于用户而言，必须要设定固定IP，到其它场合又要重新设定，对于部份常需要移动的用户，例如业务人员或是高阶主管，造成不小的困扰。DHCP服务器发放固定IP：DHCP服务器的好处是用户无需在计算机上作任何设置，对于用户较方便。但是DHCP的缺点是若不加以管制，随便一个用户也能进入企业的网络，也容易发动对内部的攻击，造成影响。因此对于企业而言，较好的方式是通过DHCP发放IP地址，但同时限定计算机能取得的IP地址，以便进行管理。Qno侠诺路由器配置的IP/MAC绑定功能，即可以根据网管的配置，认明计算机的MAC地址发放特定的IP，这样就可针对IP进行管理。同时IP/MAC绑定功能也可防止用户修改IP，以取得较高权限问题，错误的MAC/IP组合，将会被路由器“封锁错误MAC地址”阻挡，这个功能也可防止ARP攻击。 防止未允许的计算机上网：对于网管而言，未被管制的计算机，经常引发安全问题。有些用户会自行带入中毒的计算机，甚至其它楼层用户通过无线网络进入公司网络。这样的情况，可通过防止未允许的计算机上网来解决。

⑧ 网络要保证安全在设备上怎样做，如路由器交换机的配置

路由器安全策略示例：

1. 路由器上不得配置用户账户。

2. 路由器上的enable password命令必须以一种安全的加密形式保存。

3. 禁止IP的直接广播。

4. 路由器应当阻止源地址为非法地址的数据包。

5. 在本单位的业务需要增长时，添加相应的访问规则。

6. 路由器应当放置在安全的位置，对其物理访问仅限于所授权的个人。

7. 每一台路由器都必须清楚地标识下面的声明：

“注意：禁止对该网络设备的非授权访问。您必须在获得明确许可的情况下才能访问或配置该设备。在此设备上执行的所有活动必须加以记录，对该策略的违反将受到纪律处分，并有可能被诉诸于法律。”

每一台网络交换机必须满足以下的配置标准：

1. 交换机上不得配置用户账户。

2. 交换机上的enable password命令必须以一种安全的加密形式保存。

3. 如果交换机的MAC水平的地址能够锁定，就应当启用此功能。

4. 如果在一个端口上出现新的或未注册的MAC地址，就应当禁用此端口。

5. 如果断开链接后又重新建立链接，就应当生成一个SNMP trap.

6. 交换机应当放置在安全的位置，对其物理访问仅限于所授权的个人。

7. 交换机应当禁用任何Web 服务器软件，如果需要这种软件来维护交换机的话，应当启动服务器来配置交换机，然后再禁用它。对管理员功能的所有访问控制都应当启用。

8. 每一台交换机都必须清楚地标识下面的声明：

“注意：禁止对该网络设备的非授权访问。您必须在获得明确许可的情况下才能访问或配置该设备。在此设备上执行的所有活动必须加以记录，对该策略的违反将受到纪律处分，并有可能被诉诸于法律。”这些安全要求未必适合你单位的情况，仅供参考。

⑨ 关于思科交换机路由器的网络安全报告

我可以提示您从三个方面写
1：从硬件放置位置是否安全。
2：查看内存，CPU资源使情况，如过高可以能受到干扰要去检查是否受到功击
3：制定一个安全管理方案