亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        網(wǎng)絡(luò)邊界防護(hù),路由器也擔(dān)重任

        2017-11-22 07:51:46
        網(wǎng)絡(luò)安全和信息化 2017年4期
        關(guān)鍵詞:服務(wù)

        伴隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及網(wǎng)絡(luò)應(yīng)用的日益復(fù)雜,網(wǎng)絡(luò)邊界存在的安全風(fēng)險正逐步增多,針對網(wǎng)絡(luò)邊界的安全防護(hù)已成為現(xiàn)在網(wǎng)絡(luò)安全建設(shè)中不可回避的問題。作為網(wǎng)絡(luò)邊界的重要關(guān)卡之一,邊界路由器自身的安全狀態(tài),直接影響著網(wǎng)絡(luò)邊界的安全防護(hù)效果。為了改善網(wǎng)絡(luò)邊界安全防護(hù)效果,可以加強(qiáng)對邊界路由器的設(shè)置,不讓其成為惡意用戶的眾矢之的。

        嚴(yán)格管理登錄密碼

        當(dāng)邊界路由器使用默認(rèn)密碼或簡單字符串作為登錄密碼時,會被人輕易破解。為避免邊界路由器輕易遭受攻擊,必須嚴(yán)格管理好其登錄密碼。首先要定期修改邊界路由器登錄密碼,比較理想的密碼內(nèi)容組合是密碼無規(guī)律可循,被成功破解的機(jī)率相當(dāng)?shù)汀?/p>

        其次盡量使用復(fù)雜的加密算法。例如,對于思科邊界路由器來說,可以使用“enable secret”命令來設(shè)置后臺系統(tǒng)登錄密碼,而不要使用“enable password”命令進(jìn)行設(shè)置,因為后面一種命令使用的是較弱的加密算法,它設(shè)置的密碼內(nèi)容是以明文形式存在,所以“enable secret”命令設(shè)置的密碼要優(yōu)先于“enable password”命令設(shè)置的密碼。當(dāng)然,無論使用何種命令,其內(nèi)容都是存儲在邊界路由器配置文件中的,為保護(hù)配置文件的安全,建議同時啟用“service passwordencryption”功能,對邊界路由器配置文件中的內(nèi)容執(zhí)行加密操作。

        第三加密保護(hù)Consol連接端口。通過直連的Consol端口可以輕易控制整個邊界路由器后臺系統(tǒng),哪怕惡意用戶沒有足夠的操作權(quán)限,但只要有訪問控制端口和重啟后臺系統(tǒng)功能時,就有可能通過Consol連接端口操控邊界路由器。為了避免這種現(xiàn)象,要為邊界路由器的Consol連接端口設(shè)置復(fù)雜的訪問密碼。例如,要為思科邊界路由器的Consol端口 設(shè) 置“&5uy$32><”這 樣的密碼時,可以先在后臺系統(tǒng)的全局配置模式狀態(tài)下,執(zhí) 行“l(fā)ine consol 0”命令,切換到對應(yīng)連接端口視圖模式,再輸入“password&5uy$32><”命令即可。

        無論哪種類型的密碼,都應(yīng)定期修改。通過強(qiáng)制定期修改密碼的方法能控制登錄密碼的有效時間。

        合理進(jìn)行訪問控制

        邊界路由器作為單位局域網(wǎng)與Internet網(wǎng)絡(luò)相互連接的一個重要設(shè)備,它是單位局域網(wǎng)接受數(shù)據(jù)的第一道“關(guān)卡”,在這種情況下,需要合理配置訪問控制列表來保護(hù)網(wǎng)絡(luò)邊界的安全,網(wǎng)管員可根據(jù)實際情況按需定義基本的標(biāo)準(zhǔn)訪問列表或定義高級的擴(kuò)展訪問列表。例如,在思科邊界路由器后臺系統(tǒng)配置模式狀態(tài)下,依次執(zhí)行如下配置命令,能對網(wǎng)絡(luò)邊界安全起到一定作用。

        其中第一行命令是用來過濾環(huán)回地址的,第二至第四行命令是過濾RFC1918私有地址的,第五行命令是過濾不用的組播地址的,第六行命令是過濾DHCP自定義地址的,第七行命令是過濾全網(wǎng)絡(luò)地址的。

        此外,還可以配置訪問控制列表,嚴(yán)格限定流出單位局域網(wǎng)的數(shù)據(jù)包地址。例如,單位內(nèi)網(wǎng)使用的IP地址為10.176.0.0,那么可以進(jìn)行如下配置操作,來控制邊界路由器的數(shù)據(jù)流出:

        停用無關(guān)管理服務(wù)

        邊界路由器往往會集成并開啟很多管理服務(wù),但對特定類型用戶,大多管理服務(wù)幾乎用不到,相反還會威脅邊界路由器的運行安全。

        首先盡量關(guān)閉SNMP服務(wù)。SNMP服務(wù)是一個十分實用的服務(wù),但它也有致命安全缺陷,因為其常常采用UDP方式傳輸,便于惡意用戶進(jìn)行IP源地址假冒,而且它在處理請求消息以及在解析和處理TRAP消息時,可能會引起緩沖區(qū)溢出、堆棧耗盡和內(nèi)存耗盡等不正?,F(xiàn)象。因此,在網(wǎng)絡(luò)邊界環(huán)境下建議關(guān)閉路由器自帶的SNMP服務(wù)。例如在關(guān)閉思科邊界路由器的SNMP服務(wù)時,只要在全局配置模式狀態(tài)下輸入“No Snmp-Server”命令即可。當(dāng)然,如果實在要使用SNMP服務(wù)時,可以開啟使用邊界路由器的SNMP代理功能,通過訪問控制方式,將來自未經(jīng)授權(quán)主機(jī)的SNMP請求信息攔截,只是該方法對UDP的源IP地址欺騙不能奏效,且會影響網(wǎng)絡(luò)傳輸性能。

        其次停用HTTP管理服務(wù)。思科路由器集成了基于圖形界面的HTTP管理服務(wù),該服務(wù)一旦啟動后,路由器后臺系統(tǒng)需要打開80端口,而該端口常常會成為外網(wǎng)黑客的攻擊目標(biāo)。所以,當(dāng)路由器用于網(wǎng)絡(luò)邊界環(huán)境時,建議停用后臺系統(tǒng)自帶的HTTP管理服務(wù)。在關(guān)閉思科邊界路由器的HTTP管理服務(wù)時,只要在全局配置模式狀態(tài)下,輸入“No ip http server”命令即可。

        第三,警惕Telent服務(wù)威脅。為提高網(wǎng)絡(luò)管理效率,很多網(wǎng)管員常常使用Telnet服務(wù)對路由器進(jìn)行遠(yuǎn)程管理維護(hù),不過該服務(wù)在傳輸數(shù)據(jù)時會將登錄賬號之類的重要信息以明文方式傳輸,黑客通過專業(yè)嗅探工具能輕松截取Telent服務(wù)發(fā)送的數(shù)據(jù)包,這顯然不安全。其實,思科路由器默認(rèn)未啟用Telent服務(wù),如果需要遠(yuǎn)程管理維護(hù)路由器時,不妨通過SSH服務(wù)來進(jìn)行。該服務(wù)會對傳輸數(shù)據(jù)進(jìn)行加密,所以相對來說,這種服務(wù)遠(yuǎn)程管理路由器時會安全許多。如果網(wǎng)絡(luò)邊界使用的是其他品牌路由器,可以先查看對應(yīng)設(shè)備的Telnet服務(wù)是否已被開啟,如果已經(jīng)開啟,建議盡量要停用該服務(wù),以確保邊界路由器的工作安全。倘若一定要使用Telnet服務(wù)時,不妨通過設(shè)置復(fù)雜的登錄密碼來保護(hù)遠(yuǎn)程管理操作安全。

        第四關(guān)閉IP Directed Broadcast服務(wù)。當(dāng)邊界路由器開啟了IP Directed Broadcast服務(wù)后,黑客通過假冒的源地址向單位內(nèi)網(wǎng)廣播地址發(fā)送一個廣播幀時,邊界路由器會自動識別出地址的主機(jī)部分是發(fā)往所有主機(jī)的廣播地址,然后它將數(shù)據(jù)包擴(kuò)展成MAC層的廣播幀,特定網(wǎng)段上的所有主機(jī)都能收到此廣播幀,那么所有主機(jī)就會進(jìn)行回應(yīng),這種現(xiàn)象將會嚴(yán)重降低單位內(nèi)網(wǎng)網(wǎng)絡(luò)性能。所以在沒有特殊要求的情況下,建議使用“No ip source-route”命令,關(guān)閉邊界路由器的IP Directed Broadcast服務(wù)。

        拒絕外部Ping測試

        黑客在向單位內(nèi)網(wǎng)發(fā)動攻擊之前,經(jīng)常會使用Ping命令對內(nèi)網(wǎng)中的特定主機(jī)進(jìn)行測試。為了增大黑客的攻擊難度,可以在邊界路由器上進(jìn)行合理配置,拒絕對外部Ping命令測試操作進(jìn)行回應(yīng)。

        例如,在思科路由器后臺系統(tǒng)中,可以在全局配置模式狀態(tài)下依次執(zhí)行如下命令,從而拒絕對ICMP數(shù)據(jù)包進(jìn)行響應(yīng)、重定向以及請求等:

        其中,第一行命令表示禁止對進(jìn)入單位內(nèi)網(wǎng)的ICMP數(shù)據(jù)包進(jìn)行回應(yīng),第二行命令表示禁止對進(jìn)入單位內(nèi)網(wǎng)的ICMP數(shù)據(jù)包進(jìn)行重定向,第三行命令表示禁止對進(jìn)入單位內(nèi)網(wǎng)的ICMP數(shù)據(jù)包申請獲得掩碼地址。

        猜你喜歡
        服務(wù)
        自助取卡服務(wù)
        服務(wù)在身邊 健康每一天
        服務(wù)在身邊 健康每一天
        服務(wù)在身邊 健康每一天
        服務(wù)在身邊 健康每一天
        服務(wù)在身邊 健康每一天
        服務(wù)在身邊 健康每一天
        服務(wù)在身邊 健康每一天
        高等教育為誰服務(wù):演變與啟示
        招行30年:從“滿意服務(wù)”到“感動服務(wù)”
        商周刊(2017年9期)2017-08-22 02:57:56
        中文字幕一区二区三区在线不卡 | 亚洲免费观看一区二区三区| 国产精品亚洲二区在线| 一本色综合网久久| 精品少妇人妻av无码久久| 成人久久免费视频| 青青草伊人视频在线观看| 国产精品高潮呻吟av久久黄| 亚洲精品无码国产| 国产高级黄区18勿进一区二区| 久久亚洲精品一区二区| 日韩精品视频免费网站| 高清不卡一区二区三区| 免费AV一区二区三区无码| 用力草我小逼视频在线播放| 久久精品国产亚洲av天| 人妻少妇精品无码专区二区| 日韩秘 无码一区二区三区| 久久精品国产亚洲av一| 女人无遮挡裸交性做爰| 久久av高潮av无码av喷吹| 精品国产福利片在线观看| 日韩精品午夜视频在线| 亚洲精品国精品久久99热| 亚洲国产成人va在线观看天堂| 午夜亚洲国产精品福利| 国产精品又湿又黄九九九久久嫩草| 性按摩xxxx在线观看| 欧美高大丰满freesex| 人妻少妇精品系列一区二区| 国产高清在线一区二区不卡| 亚洲七久久之综合七久久| 国产高潮精品久久AV无码| 偷拍美女一区二区三区视频| 亚洲a∨无码精品色午夜| 亚洲av无码一区二区三区在线 | 日本免费三级一区二区| 亚洲av无码乱码在线观看富二代| 久久久精品久久日韩一区综合| 亚洲一区二区三在线播放| 森中文字幕一区二区三区免费|