解釋路由器的概念,首先得知道什么是路由。
所謂“路由”,是指把數據從一個地方傳送到另一個地方的行為和動作,而路由器,正是執(zhí)行這種行為動作的機器,它的英文名稱為Router,是一種連接多個網絡或網段的網絡設備,它能將不同網絡或網段之間的數據信息進行“翻譯”,以使它們能夠相互“讀懂”對方的數據,從而構成一個更大的網絡。 簡單的講,路由器主要有以下幾種功能: 第一,網絡互連,路由器支持各種局域網和廣域網接口,主要用于互連局域網和廣域網,實現不同網絡互相通信; 第二,數據處理,提供包括分組過濾、分組轉發(fā)、優(yōu)先級、復用、加密、壓縮和防火墻等功能; 第三,網絡管理,路由器提供包括配置管理、性能管理、容錯管理和流量控制等功能。
為了完成“路由”的工作,在路由器中保存著各種傳輸路徑的相關數據--路由表(Routing Table),供路由選擇時使用。路由表中保存著子網的標志信息、網上路由器的個數和下一個路由器的名字等內容。
路由表可以是由系統(tǒng)管理員固定設置好的,也可以由系統(tǒng)動態(tài)修改,可以由路由器自動調整,也可以由主機控制。在路由器中涉及到兩個有關地址的名字概念,那就是:靜態(tài)路由表和動態(tài)路由表。
由系統(tǒng)管理員事先設置好固定的路由表稱之為靜態(tài)(static)路由表,一般是在系統(tǒng)安裝時就根據網絡的配置情況預先設定的,它不會隨未來網絡結構的改變而改變。動態(tài)(Dynamic)路由表是路由器根據網絡系統(tǒng)的運行情況而自動調整的路由表。
路由器根據路由選擇協(xié)議(Routing Protocol)提供的功能,自動學習和記憶網絡運行情況,在需要時自動計算數據傳輸的最佳路徑。 為了簡單地說明路由器的工作原理,現在我們假設有這樣一個簡單的網絡。
如圖所示,A、B、C、D四個網絡通過路由器連接在一起。 現在我們來看一下在如圖所示網絡環(huán)境下路由器又是如何發(fā)揮其路由、數據轉發(fā)作用的。
現假設網絡A中一個用戶A1要向C網絡中的C3用戶發(fā)送一個請求信號時,信號傳遞的步驟如下: 第1步:用戶A1將目的用戶C3的地址C3,連同數據信息以數據幀的形式通過集線器或交換機以廣播的形式發(fā)送給同一網絡中的所有節(jié)點,當路由器A5端口偵聽到這個地址后,分析得知所發(fā)目的節(jié)點不是本網段的,需要路由轉發(fā),就把數據幀接收下來。 第2步:路由器A5端口接收到用戶A1的數據幀后,先從報頭中取出目的用戶C3的IP地址,并根據路由表計算出發(fā)往用戶C3的最佳路徑。
因為從分析得知到C3的網絡ID號與路由器的C5網絡ID號相同,所以由路由器的A5端口直接發(fā)向路由器的C5端口應是信號傳遞的最佳途經。 第3步:路由器的C5端口再次取出目的用戶C3的IP地址,找出C3的IP地址中的主機ID號,如果在網絡中有交換機則可先發(fā)給交換機,由交換機根據MAC地址表找出具體的網絡節(jié)點位置;如果沒有交換機設備則根據其IP地址中的主機ID直接把數據幀發(fā)送給用戶C3,這樣一個完整的數據通信轉發(fā)過程也完成了。
從上面可以看出,不管網絡有多么復雜,路由器其實所作的工作就是這么幾步,所以整個路由器的工作原理基本都差不多。當然在實際的網絡中還遠比上圖所示的要復雜許多,實際的步驟也不會像上述那么簡單,但總的過程是這樣的。
增加路由器涉及的基本協(xié)議 路由器英文名稱為Router,是一種用于連接多個網絡或網段的網絡設備。這些網絡可以是幾個使用不同協(xié)議和體系結構的網絡(比如互聯網與局域網),可以是幾個不同網段的網絡(比如大型互聯網中不同部門的網絡),當數據信息從一個部門網絡傳輸到另外一個部門網絡時,可以用路由器完成。
現在,家庭局域網也越來越多地采用路由器寬帶共享的方式上網。 路由器在連接不同網絡或網段時,可以對這些網絡之間的數據信息進行“翻譯”,然后“翻譯”成雙方都能“讀”懂的數據,這樣就可以實現不同網絡或網段間的互聯互通。
同時,它還具有判斷網絡地址和選擇路徑的功能以及過濾和分隔網絡信息流的功能。目前,路由器已成為各種骨干網絡內部之間、骨干網之間以及骨干網和互聯網之間連接的樞紐。
NAT:全稱Network Address Translation(網絡地址轉換),路由器通過NAT功能可以將局域網內部的IP地址轉換為合法的IP地址并進行Internet的訪問。比如,局域網內部有個IP地址為192.168.0.1的計算機,當然通過該IP地址可以和內網其他的計算機通信;但是如果該計算機要訪問外部Internet網絡,那么就需要通過NAT功能將192.168.0.1轉換為合法的廣域網IP地址,比如210.113.25.100。
DHCP:全稱Dynamic Host Configuration Protocol(動態(tài)主機配置協(xié)議),通過DHCP功能,路由器可以為網絡內的主機動態(tài)指定IP地址,而不需要每個用戶去設置靜態(tài)IP地址,并將TCP/IP配置參數分發(fā)給局域網內合法的網絡客戶端。 DDNS:全稱Dynamic Domain Name Server(動態(tài)域名解析系統(tǒng)),通常稱為“動態(tài)DNS”,因為對于普通的寬帶上網使用的都是ISP(網絡服務商)提供的動態(tài)IP地址。
如果在局域網內建立了某個服務器需要Internet用戶進行訪問,那么,可以通過路由器的DDNS功能將動態(tài)IP地址解析為一個固定的域名,比如協(xié)議(TCP/IP)”,雙擊彈出“Internet協(xié)議(TCP/IP)屬性”窗口;
在這個窗口中選擇“使用下面的IP地址”,然后在對應的位置填入:
IP地址 :192. 168. 1. X(X范圍2-254)、
子網掩碼:255. 255. 255. 0 、
默認網關:192. 168. 1. 1 ,填完以后“確定”兩次即可。
到這里,我們就可配置路由器了。
1、打開IE瀏覽器,在地址欄輸入 192. 168. 1. 1 并回車,輸入用戶名和密碼;
2、進入路由器管理界面,會彈出一個類似下圖“設置向導”界面,可以取消不理它; 進入路由器管理界面,在左列菜單欄中點擊“網絡參數”—>“WAN口設置”,就在這里配置路由器面向Internet方向的WAN口的工作模式,這是最關鍵的一步;
3、假設您的寬帶接入方式為 ADSL PPPoE ,那就選擇“WAN口連接類型”為“PPPoE”,填入“上網賬號” 、“上網口令”,如果您是包月用戶,再選擇連接模式為:“自動連接”,點擊“保存”即完成配置;保存完后“上網口令”框內填入的密碼會多出幾位,這是路由器為了安全起見專門做的;
4、然后您點擊管理界面左列的“運行狀態(tài)”,在運行狀態(tài)頁面“WAN口屬性”,剛開始看不到對應的IP地址子網掩碼默認網關DNS服務器等地址,就好像下面的這幅圖,那說明路由器正在撥號過程中,等到這些地址都出現了相應的信息后,將其中的DNS服務器地址填入電腦“Internet協(xié)議(TCP/IP)”頁面對應位置確定后,基本的設置就完成了,沒有大礙的話可以沖浪了!
在企業(yè)無線網辦公中經常會出現一些使用手冊上未涉及到的疑難和故障,有時難以應付,無法解決。
下面就無線網絡中由路由器引發(fā)的典型故障進行分析,并提供解決方案。 連接錯誤線路不通 網絡線路不通有很多原因造成,但首先要檢查的是連接配置上有無錯誤。
在確保路由器電源正常的前提下首先查看寬帶接入端。路由器上的指示燈可以說明寬帶線路接入端是否正常,由說明書上可以辨認哪一個亮燈為寬帶接入端及用戶端,觀察其燈閃亮狀態(tài),連續(xù)閃爍為正常,不亮或長亮不閃爍為故障。
我們可以換一根寬帶膠線代替原來的線路進行連接。 如果故障依舊,請查看路由器的擺放位置與接收電腦的距離是否過遠或中間有大型障礙物阻隔。
這時請重新放置路由器,使無線路由器與接收電腦不要間隔太多障礙物,并使接收電腦在無線路由器的信號發(fā)射范圍之內即可。 無線網卡的檢查也必不可少,可以更換新的網卡并重新安裝驅動程序進行調試,在網卡中點擊“查看可用的無線連接”刷新“網絡列表”后設置網卡參數,并在“屬性”中查看有無數據發(fā)送和接收情況,排除故障。
當然路由器自身的硬件故障也是導致線路不通的直接原因,但這并不是我們所能解決的范圍,應及時聯系廠商進行維修或更換。 設置不當無法連接 “設置”可以分為計算機設置和路由器設置兩個方面:計算機的設置相對簡單,點擊進入“網上鄰居”屬性,開啟“無線網絡連接”,然后設置“IP地址”、“子網掩碼”及“網關”,只要使計算機的IT地址與無線路由器的IT地址在同一網段即可。
“網關”的設置可以參見網卡說明書中所述,一般情況下與路由器 IP地址相同。 路由器的設置相對較為專業(yè)、復雜些。
首先在系統(tǒng)瀏覽器中輸入無線路由器IT地址,在彈出的登錄界面中輸入路由器的管理員登錄名及密碼即可進入設置界面,此時需要檢查網絡服務商所給你的寬帶賬號及口令是否正確,如不正確,更正后嘗試連接,如果連接后仍無法打開頁面請點擊進入路由器中的“安全設置”選項,查看是否開啟“網絡防火墻”、“IP地址過濾”以及“MAC地址過濾”選項,并做更正和設置,排除無法開啟網絡的故障。 網絡攻擊導致聯網異常 ARP攻擊以及非法入侵未設防的無線局域網已經是現在導致聯網異常的典型案例了。
由于安全設置的疏忽以及后期安全防護的不足,導致少數具有惡意的黑客對企業(yè)的重要信息及保密數據造成了極大的危害。 ARP攻擊會造成網絡IT沖突,數據的丟失及溢出,更有甚者會導致網絡癱瘓。
這些現象對企業(yè)組網的威脅都是很大的。 首先進入“帶有網絡的安全模式”在無線網卡屬性處更換電腦的IT地址,之后查看是否可以聯網。
另外購買安裝專業(yè)的殺毒軟件及網絡防火墻是比較捷徑的方法之一。 其次進入路由器“安全設置”選項進行高級設置。
現在的大部分無線路由器都具有WEP的密碼編碼功能,用最長128bit的密碼鍵對數據進行編碼,在無線路由器上進行通信,密碼鍵長度可以選擇40bit或128bit。利用MAC地址和預設的網絡ID來限制哪些無線網卡和接入點可以進入網絡,完全可以確保網絡安全。
對于非法的接收者來說,截聽無線網的信號是非常困難的,從而可以有效地防范黑客的入侵破壞和非法用戶惡意的網絡攻擊。 最后要注意,在沒有特殊需要或不具有專業(yè)技能的情況下禁止開啟路由器中的“遠程WEB管理”功能選項。
路由器部分功能失靈無法使用 這個問題大多存在于一些老款的無線路由器中,當我們在配置路由器高級功能選項的時候,在反復確認連接無誤的情況下就是有部分功能無法開啟使用,這時你也許第一想到是否是硬件出了故障,其實不然。 首先我們要查看一下路由器系統(tǒng)的版本,在查閱無線路由器說明書后,看該功能是否支持這個版本的路由器系統(tǒng)。
路由器的系統(tǒng)通常有許多版本,每個版本支持不同的功能。如果你當前的軟件版本不支持這個功能,那就應該找到相應的軟件,先進行升級。
點擊進入無線路由器的“系統(tǒng)工具”選項,進入后選擇“軟件升級”,此時在對話界面中會顯示當前的軟件版本和硬件版本,在彈出的對話框中輸入“文件名”(即系統(tǒng)升級的文件名)和“TFTP服務器IP”后點擊“升級”即可。 升級時要注意:選擇與當前硬件版本一致的軟件進行升級,在升級過程中千萬不要關閉路由器的電源,否則將導致路由器損壞而無法使用,在網絡穩(wěn)定的情況下升級過程很短,整個過程不會超過一分鐘。
當你發(fā)現路由器在升級完畢后重啟,請不要擔心,這是正常的,一般升級過后,路由器工作情況會更加穩(wěn)定,并增加一些適用于此版本更多的新功能。
第一部分:計算機結構及工作原理、各種零配件的性能參數及主流品牌、計算機硬件的組裝,CMOS設置,硬盤的分區(qū),格式化、Windows98/2000/XP的安裝、硬件驅動程序和應用程序的安裝、Windows注冊表的結構,備份及應用、Windows的內核:CPU、內存、硬盤等分配、軟硬件系統(tǒng)的優(yōu)化設置,整機性能評測、計算機病毒的原理及防治、常見軟硬件故障的原因,現象及解決、正確分辨市場假貨、水貨,軟硬件產品 的銷售技巧。
第二部分:網絡的基本構成,發(fā)展和拓撲設計,10BASE-T局域網的構建與實現,以及各種服務器的結構與特征,以太網對等網等各種方式。TCP/IP的四層模型與OSI七層模型的異同,TCP/IP協(xié)議剖析,如何設置IP地址,子網掩碼,默認網關,區(qū)分子網和網段及集線器,交換機和路由器,RJ45網線制作和種網吧的組建及維護,NT、WIN2000server、Linux服務器的搭建,98對等網的組建與調試和代理服務器的設置 第三部分:Win2000配置,用戶及權限、文件及文件夾的管理,新特性活動目錄的管理,組策略。
網絡資源的監(jiān)控、系統(tǒng)環(huán)境的設置、磁盤系統(tǒng)的管理。Web、Ftp、DNS、DHCP、WINS等服務器的安裝配置及管理。
利用Exchange郵件服務器軟件實現企業(yè)內部個人郵件信箱服務器、公告欄服務器、網站收發(fā)電子郵件服務器、聊天服務器的建立和管理。SQLServer中數據庫的創(chuàng)建、表的創(chuàng)建及發(fā)布、數據庫的備份及恢復、表的導入及導出等一系列維護和管理方法。
代理服務器基本原理。利用MicrosoftProxy為例實現代理服務器的設置及管理。
第四部分:代理服務器基本原理。利用MicrosoftProxy為例實現代理服務器的設置及管理。
流行網管軟件CiscoWork2000的配置、使用和管理技巧,在一臺監(jiān)控計算機上管理網絡中所有的路由器和交換機,實時監(jiān)控網絡流量,及時發(fā)現網絡問題。路由與交換技術:路由原理的講解,并通過對路由器配置實例的學習掌握Cisco路由器的常用配置命令及配置。
交換原理的講解,通過對交換機配置實例的學習掌握交換機的常用配置命令及配置。 第五部分:系統(tǒng)進行手工定制、系統(tǒng)性能檢測管理、內核設置與編譯。
ftp服務與Samba服務,其它服務,如,DHCP、NFS等。Web網絡服務。
包括:Apache服務的配置使用及安全設置。其它web服務軟件的介紹。
DNS技術及應用。一些簡單的路由技術一些簡單的負載均衡技術。
Mail網絡服務。包括:sendmail的配置與使用,Qmail的配置與使用。
一些mail客戶端程序的使用 第六部分:網絡安全的基本概述,網絡協(xié)議的介紹,常規(guī)加密的基本知識,公鑰密鑰加密的基本知識及數字簽名,身份難驗證,用PGP及數字證書進行郵件加密實驗,全面講述在環(huán)境下實施網絡安全對策,Windows98下各種漏洞、攻擊類型和防御方法及安全配置方案(系統(tǒng)安全、IE安全、Outlook的安全等)。結合黑客攻擊過程全面講述在WindowsNT環(huán)境下實施網絡安全對策。
WindowsNT下各種漏洞、攻擊類型和防御方法及安全配置方案,全面講述在Windows2000環(huán)境下實施網絡安全對策,Windows系統(tǒng)的日志安全、WEB安全,軟件防火墻的實施。Windows2000下各種漏洞、攻擊類型和防御方法及安全配置方 案。
第七部分:Linux管理員部分一、基本應用1、GNU/linux介紹、RedhatLinux的安裝。2、系統(tǒng)知識(shell、文件系統(tǒng)、管道與重定向、進程概念)、常用系統(tǒng)命令介紹(ls、cp、mkdir、rm、vi、man、chmod等)3、基本系統(tǒng)管理(包括:系統(tǒng)啟動過程介紹、磁盤管理、用戶管理、日志查看、tar/gz包的使用、rpm軟件包管理等。
二、基本系統(tǒng)服務(包括:圖形終端、基本網絡服務)(9個課時)1、圖形終端(即,x-window)的配置與使用。圍繞KDE和(或)GNOME,展示UNIX系統(tǒng)的友好界面。
2、簡單的shell教本編寫方法,環(huán)境變量3、Linux下IP網絡的基本配置(IP地址、網關、名字)4、Linux下的網絡服務的配置與使用(包括ftp、DNS、Apache、Sendmail、samba的基本配置)?;赗edHat的setup和linuxcon。
設置網絡密鑰 無線加密協(xié)議(WEP)是對無線網絡中傳輸的數據進行加密的一種標準方法。
現在大多數的無線設備只具備WEP加密,更為安全的WPA加密還未被廣泛使用。 目前,無線路由器或AP的密鑰類型一般有兩種。
例如,所使用的無線路由器便有64位和128位的加密類型,分別輸入10個或26個字符串作為加密密碼。 在這里要提醒各位,許多無線路由器或AP在出廠時,數據傳輸加密功能是關閉的,如果你拿來就用而不作進一步設置的話,那么你的無線網絡就成為了一個“不設防”的擺設。
因此,為你的無線網絡進行加密設置是極為重要的。 測試結果:選用了64位加密方式,實測中,通過Network Stumbler等軟件發(fā)現了無線網絡的存在,但由于無法獲取密碼,不能使用該無線網絡。
禁用SSID廣播 通俗地說,SSID便是你給自己的無線網絡所取的名字。需要注意的是,同一生產商推出的無線路由器或AP都使用了相同的SSID,一旦那些企圖非法連接的攻擊者利用通用的初始化字符串來連接無線網絡,就極易建立起一條非法的連接,從而給我們的無線網絡帶來威脅。
因此,建議你最好能夠將SSID命名為一些較有個性的名字。 無線路由器一般都會提供“允許SSID廣播”功能。
如果你不想讓自己的無線網絡被別人通過SSID名稱搜索到,那么最好“禁止SSID廣播”。你的無線網絡仍然可以使用,只是不會出現在其他人所搜索到的可用網絡列表中。
小提示:通過禁止SSID廣播設置后,無線網絡的效率會受到一定的影響,但以此換取安全性的提高,認為還是值得的。 測試結果:由于沒有進行SSID廣播,該無線網絡被無線網卡忽略了,尤其是在使用Windows XP管理無線網絡時,達到了“掩人耳目”的目的。
禁用DHCP DHCP功能可在無線局域網內自動為每臺電腦分配IP地址,不需要用戶設置IP地址、子網掩碼以及其他所需要的TCP/IP參數。如果啟用了DHCP功能,那么別人就能很容易地使用你的無線網絡。
因此,禁用DHCP功能對無線網絡而言很有必要。 在無線路由器的“DHCP服務器”設置項下將DHCP服務器設定為“不啟用”即可。
測試結果:由于無法獲得IP地址和DNB服務器信息,既使能找到該無線網絡信號,仍然不能使用網絡。 啟用MAC地址、IP地址過濾 在無線路由器的設置項中,啟用MAC地址過濾功能時,要注意的是,在“過濾規(guī)則”中一定要選擇“僅允許已設MAC地址列表中已生效的MAC地址訪問無線網絡”這類的選項。
另外,如果在無線局域網中禁用了DHCP功能,那么建議你為每臺使用無線服務的電腦都設置一個固定的IP地址,然后將這些IP地址都輸入IP地址允許列表中。啟用了無線路由器的IP地址過濾功能后,只有IP地址在列表中的用戶才能正常訪問網絡,其他人只能干瞪眼了。
測試結果:MAC地址過濾和IP地址過濾設置好后,即使有人勉強入侵了無線網絡,但由于MAC地址和IP地址被無線路由器的過濾功能禁止掉了,因此無線網絡仍然無法使用。 總 結 實際上在實測的過程中發(fā)現,前面提到的任一方式都可以保護好自己的無線網絡,所以普通用戶無須擔憂,可以放心使用。
另外,如果在機場、會議室等公共場合使用一些公用的無線網絡,一定要記住關閉自己的文檔和打印共享功能,因為這類共享的文檔很容易被同一個局域網內的另外一個客戶端所訪問。
什么是信息安全信息安全是指信息網絡的硬件、軟件及其系統(tǒng)中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務不中斷。
信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。
信息安全的實現目標◆ 真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別。◆ 保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義。
◆ 完整性:保證數據的一致性,防止數據被非法用戶篡改?!?可用性:保證合法用戶對信息和資源的使用不會被不正當地拒絕。
◆ 不可抵賴性:建立有效的責任機制,防止用戶否認其行為,這一點在電子商務中是極其重要的?!?可控制性:對信息的傳播及內容具有控制能力。
◆ 可審查性:對出現的網絡安全問題提供調查的依據和手段 主要的信息安全威脅◆ 竊?。悍欠ㄓ脩敉ㄟ^數據竊聽的手段獲得敏感信息。 ◆ 截取:非法用戶首先獲得信息,再將此信息發(fā)送給真實接收者。
◆ 偽造:將偽造的信息發(fā)送給接收者。 ◆ 篡改:非法用戶對合法用戶之間的通訊信息進行修改,再發(fā)送給接收者。
◆ 拒絕服務攻擊:攻擊服務系統(tǒng),造成系統(tǒng)癱瘓,阻止合法用戶獲得服務。 ◆ 行為否認:合法用戶否認已經發(fā)生的行為。
◆ 非授權訪問:未經系統(tǒng)授權而使用網絡或計算機資源。 ◆ 傳播病毒:通過網絡傳播計算機病毒,其破壞性非常高,而且用戶很難防范。
信息安全威脅的主要來源◆ 自然災害、意外事故;◆ 計算機犯罪;◆ 人為錯誤,比如使用不當,安全意識差等; ◆ "黑客" 行為;◆ 內部泄密;◆ 外部泄密;◆ 信息丟失;◆ 電子諜報,比如信息流量分析、信息竊取等;◆ 信息戰(zhàn);◆ 網絡協(xié)議自身缺陷缺陷,例如TCP/IP協(xié)議的安全問題等等。 信息安全策略信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規(guī)則。
實現信息安全,不但靠先進的技術,而且也得靠嚴格的安全管理,法律約束和安全教育:◆ 先進的信息安全技術是網絡安全的根本保證。用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務種類,選擇相應的安全機制,然后集成先進的安全技術,形成一個全方位的安全系統(tǒng);◆ 嚴格的安全管理。
各計算機網絡使用機構,企業(yè)和單位應建立相應的網絡安全管理辦法,加強內部管理,建立合適的網絡安全管理系統(tǒng),加強用戶管理和授權管理,建立安全審計和跟蹤體系,提高整體網絡安全意識;◆ 制訂嚴格的法律、法規(guī)。計算機網絡是一種新生事物。
它的許多行為無法可依,無章可循,導致網絡上計算機犯罪處于無序狀態(tài)。面對日趨嚴重的網絡上犯罪,必須建立與網絡安全相關的法律、法規(guī),使非法分子懾于法律,不敢輕舉妄動。
信息安全涉及的主要問題◆ 網絡攻擊與攻擊檢測、防范問題◆ 安全漏洞與安全對策問題◆ 信息安全保密問題◆ 系統(tǒng)內部安全防范問題◆ 防病毒問題◆ 數據備份與恢復問題、災難恢復問題信息安全技術簡介目前,在市場上比較流行,而又能夠代表未來發(fā)展方向的安全產品大致有以下幾類:◆ 防火墻:防火墻在某種意義上可以說是一種訪問控制產品。它在內部網絡與不安全的外部網絡之間設置障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。
主要技術有:包過濾技術,應用網關技術,代理服務技術。防火墻能夠較為有效地防止黑客利用不安全的服務對內部網絡的攻擊,并且能夠實現數據流的監(jiān)控、過濾、記錄和報告功能,較好地隔斷內部網絡與外部網絡的連接。
但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。◆ 安全路由器:由于WAN連接需要專用的路由器設備,因而可通過路由器來控制網絡傳輸。
通常采用訪問控制列表技術來控制網絡信息流?!?虛擬專用網(VPN):虛擬專用網(VPN)是在公共數據網絡上,通過采用數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互聯。
VPN的構筑通常都要求采用具有加密功能的路由器或防火墻,以實現數據在公共信道上的可信傳遞?!?安全服務器:安全服務器主要針對一個局域網內部信息存儲、傳輸的安全保密問題,其實現功能包括對局域網資源的管理和控制,對局域網內用戶的管理,以及局域網中所有安全相關事件的審計和跟蹤。
◆ 電子簽證機構--CA和PKI產品:電子簽證機構(CA)作為通信的第三方,為各種服務提供可信任的認證服務。CA可向用戶發(fā)行電子簽證證書,為用戶提供成員身份驗證和密鑰管理等功能。
PKI產品可以提供更多的功能和更好的服務,將成為所有應用的計算基礎結構的核心部件?!?用戶認證產品:由于IC卡技術的日益成熟和完善,IC卡被更為廣泛地用于用戶認證產品中,用來存儲用戶的個人私鑰,并與其它技術如動態(tài)口令相結合,對用戶身份進行有效的識別。
同時,還可利用IC卡上的個人私鑰與數字簽名技術結合,實現數字簽名機制。隨著模式識別技術的發(fā)展,諸如指紋、視網膜、臉部特。
路由器是局域網連接外部網絡的重要橋梁,是網絡系統(tǒng)中不可或缺的重要部件,也是網絡安全的前沿關口。
但是路由器的維護卻很少被大家所重視。試想,如果路由器連自身的安全都沒有保障,整個網絡也就毫無安全可言。
因此在網絡安全管理上,必須對路由器進行合理規(guī)劃、配置,采取必要的安全保護措施,避免因路由器自身的安全問題而給整個網絡系統(tǒng)帶來漏洞和風險。 我們下面就給大家介紹一些路由器加強路由器安全的措施和方法,讓我們的網絡更安全。
1。為路由器間的協(xié)議交換增加認證功能,提高網絡安全性 路由器的一個重要功能是路由的管理和維護,目前具有一定規(guī)模的網絡都采用動態(tài)的路由協(xié)議,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP 等。
當一臺設置了相同路由協(xié)議和相同區(qū)域標示符的路由器加入網絡后,會學習網絡上的路由信息表。但此種方法可能導致網絡拓撲信息泄漏,也可能由于向網絡發(fā)送自己的路由信息表,擾亂網絡上正常工作的路由信息表,嚴重時可以使整個網絡癱瘓。
這個問題的解決辦法是對網絡內的路由器之間相互交流的路由信息進行認證。 當路由器配置了認證方式,就會鑒別路由信息的收發(fā)方。
2。路由器的物理安全防范 路由器控制端口是具有特殊權限的端口,如果攻擊者物理接觸路由器后,斷電重啟,實施“密碼修復流程”,進而登錄路由器,就可以完全控制路由器。
3。保護路由器口令 在備份的路由器配置文件中,密碼即使是用加密的形式存放,密碼明文仍存在被破解的可能。
一旦密碼泄漏,網絡也就毫無安全可言。 4。
阻止察看路由器診斷信息 關閉命令如下: 以下是引用片段:no service tcp-small-servers no service udp-small-servers 5。阻止查看到路由器當前的用戶列表 關閉命令為: 以下是引用片段:no service finger 6。
關閉CDP服務 在OSI二層協(xié)議即鏈路層的基礎上可發(fā)現對端路由器的部分配置信息: 設備平臺、操作系統(tǒng)版本、端口、IP地址等重要信息??梢杂妹睿?no cdp running或no cdp enable關閉這個服務。
7。阻止路由器接收帶源路由標記的包,將帶有源路由選項的數據流丟棄 “IP source-route”是一個全局配置命令,允許路由器處理帶源路由選項標記的數據流。
啟用源路由選項后,源路由信息指定的路由使數據流能夠越過默認的路由,這種包就可能繞過防火墻。關閉命令如下: 以下是引用片段:no ip source-route 8。
關閉路由器廣播包的轉發(fā) Sumrf D。o。
S攻擊以有廣播轉發(fā)配置的路由器作為反射板,占用網絡資源,甚至造成網絡的癱瘓。 應在每個端口應用“no ip directed-broadcast”關閉路由器廣播包。
聲明:本網站尊重并保護知識產權,根據《信息網絡傳播權保護條例》,如果我們轉載的作品侵犯了您的權利,請在一個月內通知我們,我們會及時刪除。
蜀ICP備2020033479號-4 Copyright ? 2016 學習鳥. 頁面生成時間:3.039秒