路由器信息安全知識(路由器的基本知識)
1.路由器的基本知識
解釋路由器的概念,首先得知道什么是路由。
所謂“路由”,是指把數據從一個(gè)地方傳送到另一個(gè)地方的行為和動(dòng)作,而路由器,正是執行這種行為動(dòng)作的機器,它的英文名稱(chēng)為Router,是一種連接多個(gè)網(wǎng)絡(luò )或網(wǎng)段的網(wǎng)絡(luò )設備,它能將不同網(wǎng)絡(luò )或網(wǎng)段之間的數據信息進(jìn)行“翻譯”,以使它們能夠相互“讀懂”對方的數據,從而構成一個(gè)更大的網(wǎng)絡(luò )。 簡(jiǎn)單的講,路由器主要有以下幾種功能: 第一,網(wǎng)絡(luò )互連,路由器支持各種局域網(wǎng)和廣域網(wǎng)接口,主要用于互連局域網(wǎng)和廣域網(wǎng),實(shí)現不同網(wǎng)絡(luò )互相通信; 第二,數據處理,提供包括分組過(guò)濾、分組轉發(fā)、優(yōu)先級、復用、加密、壓縮和防火墻等功能; 第三,網(wǎng)絡(luò )管理,路由器提供包括配置管理、性能管理、容錯管理和流量控制等功能。
為了完成“路由”的工作,在路由器中保存著(zhù)各種傳輸路徑的相關(guān)數據--路由表(Routing Table),供路由選擇時(shí)使用。路由表中保存著(zhù)子網(wǎng)的標志信息、網(wǎng)上路由器的個(gè)數和下一個(gè)路由器的名字等內容。
路由表可以是由系統管理員固定設置好的,也可以由系統動(dòng)態(tài)修改,可以由路由器自動(dòng)調整,也可以由主機控制。在路由器中涉及到兩個(gè)有關(guān)地址的名字概念,那就是:靜態(tài)路由表和動(dòng)態(tài)路由表。
由系統管理員事先設置好固定的路由表稱(chēng)之為靜態(tài)(static)路由表,一般是在系統安裝時(shí)就根據網(wǎng)絡(luò )的配置情況預先設定的,它不會(huì )隨未來(lái)網(wǎng)絡(luò )結構的改變而改變。動(dòng)態(tài)(Dynamic)路由表是路由器根據網(wǎng)絡(luò )系統的運行情況而自動(dòng)調整的路由表。
路由器根據路由選擇協(xié)議(Routing Protocol)提供的功能,自動(dòng)學(xué)習和記憶網(wǎng)絡(luò )運行情況,在需要時(shí)自動(dòng)計算數據傳輸的最佳路徑。 為了簡(jiǎn)單地說(shuō)明路由器的工作原理,現在我們假設有這樣一個(gè)簡(jiǎn)單的網(wǎng)絡(luò )。
如圖所示,A、B、C、D四個(gè)網(wǎng)絡(luò )通過(guò)路由器連接在一起。 現在我們來(lái)看一下在如圖所示網(wǎng)絡(luò )環(huán)境下路由器又是如何發(fā)揮其路由、數據轉發(fā)作用的。
現假設網(wǎng)絡(luò )A中一個(gè)用戶(hù)A1要向C網(wǎng)絡(luò )中的C3用戶(hù)發(fā)送一個(gè)請求信號時(shí),信號傳遞的步驟如下: 第1步:用戶(hù)A1將目的用戶(hù)C3的地址C3,連同數據信息以數據幀的形式通過(guò)集線(xiàn)器或交換機以廣播的形式發(fā)送給同一網(wǎng)絡(luò )中的所有節點(diǎn),當路由器A5端口偵聽(tīng)到這個(gè)地址后,分析得知所發(fā)目的節點(diǎn)不是本網(wǎng)段的,需要路由轉發(fā),就把數據幀接收下來(lái)。 第2步:路由器A5端口接收到用戶(hù)A1的數據幀后,先從報頭中取出目的用戶(hù)C3的IP地址,并根據路由表計算出發(fā)往用戶(hù)C3的最佳路徑。
因為從分析得知到C3的網(wǎng)絡(luò )ID號與路由器的C5網(wǎng)絡(luò )ID號相同,所以由路由器的A5端口直接發(fā)向路由器的C5端口應是信號傳遞的最佳途經(jīng)。 第3步:路由器的C5端口再次取出目的用戶(hù)C3的IP地址,找出C3的IP地址中的主機ID號,如果在網(wǎng)絡(luò )中有交換機則可先發(fā)給交換機,由交換機根據MAC地址表找出具體的網(wǎng)絡(luò )節點(diǎn)位置;如果沒(méi)有交換機設備則根據其IP地址中的主機ID直接把數據幀發(fā)送給用戶(hù)C3,這樣一個(gè)完整的數據通信轉發(fā)過(guò)程也完成了。
從上面可以看出,不管網(wǎng)絡(luò )有多么復雜,路由器其實(shí)所作的工作就是這么幾步,所以整個(gè)路由器的工作原理基本都差不多。當然在實(shí)際的網(wǎng)絡(luò )中還遠比上圖所示的要復雜許多,實(shí)際的步驟也不會(huì )像上述那么簡(jiǎn)單,但總的過(guò)程是這樣的。
增加路由器涉及的基本協(xié)議 路由器英文名稱(chēng)為Router,是一種用于連接多個(gè)網(wǎng)絡(luò )或網(wǎng)段的網(wǎng)絡(luò )設備。這些網(wǎng)絡(luò )可以是幾個(gè)使用不同協(xié)議和體系結構的網(wǎng)絡(luò )(比如互聯(lián)網(wǎng)與局域網(wǎng)),可以是幾個(gè)不同網(wǎng)段的網(wǎng)絡(luò )(比如大型互聯(lián)網(wǎng)中不同部門(mén)的網(wǎng)絡(luò )),當數據信息從一個(gè)部門(mén)網(wǎng)絡(luò )傳輸到另外一個(gè)部門(mén)網(wǎng)絡(luò )時(shí),可以用路由器完成。
現在,家庭局域網(wǎng)也越來(lái)越多地采用路由器寬帶共享的方式上網(wǎng)。 路由器在連接不同網(wǎng)絡(luò )或網(wǎng)段時(shí),可以對這些網(wǎng)絡(luò )之間的數據信息進(jìn)行“翻譯”,然后“翻譯”成雙方都能“讀”懂的數據,這樣就可以實(shí)現不同網(wǎng)絡(luò )或網(wǎng)段間的互聯(lián)互通。
同時(shí),它還具有判斷網(wǎng)絡(luò )地址和選擇路徑的功能以及過(guò)濾和分隔網(wǎng)絡(luò )信息流的功能。目前,路由器已成為各種骨干網(wǎng)絡(luò )內部之間、骨干網(wǎng)之間以及骨干網(wǎng)和互聯(lián)網(wǎng)之間連接的樞紐。
NAT:全稱(chēng)Network Address Translation(網(wǎng)絡(luò )地址轉換),路由器通過(guò)NAT功能可以將局域網(wǎng)內部的IP地址轉換為合法的IP地址并進(jìn)行Internet的訪(fǎng)問(wèn)。比如,局域網(wǎng)內部有個(gè)IP地址為192.168.0.1的計算機,當然通過(guò)該IP地址可以和內網(wǎng)其他的計算機通信;但是如果該計算機要訪(fǎng)問(wèn)外部Internet網(wǎng)絡(luò ),那么就需要通過(guò)NAT功能將192.168.0.1轉換為合法的廣域網(wǎng)IP地址,比如210.113.25.100。
DHCP:全稱(chēng)Dynamic Host Configuration Protocol(動(dòng)態(tài)主機配置協(xié)議),通過(guò)DHCP功能,路由器可以為網(wǎng)絡(luò )內的主機動(dòng)態(tài)指定IP地址,而不需要每個(gè)用戶(hù)去設置靜態(tài)IP地址,并將TCP/IP配置參數分發(fā)給局域網(wǎng)內合法的網(wǎng)絡(luò )客戶(hù)端。 DDNS:全稱(chēng)Dynamic Domain Name Server(動(dòng)態(tài)域名解析系統),通常稱(chēng)為“動(dòng)態(tài)DNS”,因為對于普通的寬帶上網(wǎng)使用的都是ISP(網(wǎng)絡(luò )服務(wù)商)提供的動(dòng)態(tài)IP地址。
如果在局域網(wǎng)內建立了某個(gè)服務(wù)器需要Internet用戶(hù)進(jìn)行訪(fǎng)問(wèn),那么,可以通過(guò)路由器的DDNS功能將動(dòng)態(tài)IP地址解析為一個(gè)固定的域名,比如協(xié)議(TCP/IP)”,雙擊彈出“Internet協(xié)議(TCP/IP)屬性”窗口;
在這個(gè)窗口中選擇“使用下面的IP地址”,然后在對應的位置填入:
IP地址 :192. 168. 1. X(X范圍2-254)、
子網(wǎng)掩碼:255. 255. 255. 0 、
默認網(wǎng)關(guān):192. 168. 1. 1 ,填完以后“確定”兩次即可。
到這里,我們就可配置路由器了。
1、打開(kāi)IE瀏覽器,在地址欄輸入 192. 168. 1. 1 并回車(chē),輸入用戶(hù)名和密碼;
2、進(jìn)入路由器管理界面,會(huì )彈出一個(gè)類(lèi)似下圖“設置向導”界面,可以取消不理它; 進(jìn)入路由器管理界面,在左列菜單欄中點(diǎn)擊“網(wǎng)絡(luò )參數”—>“WAN口設置”,就在這里配置路由器面向Internet方向的WAN口的工作模式,這是最關(guān)鍵的一步;
3、假設您的寬帶接入方式為 ADSL PPPoE ,那就選擇“WAN口連接類(lèi)型”為“PPPoE”,填入“上網(wǎng)賬號” 、“上網(wǎng)口令”,如果您是包月用戶(hù),再選擇連接模式為:“自動(dòng)連接”,點(diǎn)擊“保存”即完成配置;保存完后“上網(wǎng)口令”框內填入的密碼會(huì )多出幾位,這是路由器為了安全起見(jiàn)專(zhuān)門(mén)做的;
4、然后您點(diǎn)擊管理界面左列的“運行狀態(tài)”,在運行狀態(tài)頁(yè)面“WAN口屬性”,剛開(kāi)始看不到對應的IP地址子網(wǎng)掩碼默認網(wǎng)關(guān)DNS服務(wù)器等地址,就好像下面的這幅圖,那說(shuō)明路由器正在撥號過(guò)程中,等到這些地址都出現了相應的信息后,將其中的DNS服務(wù)器地址填入電腦“Internet協(xié)議(TCP/IP)”頁(yè)面對應位置確定后,基本的設置就完成了,沒(méi)有大礙的話(huà)可以沖浪了!
3.無(wú)線(xiàn)網(wǎng)絡(luò )中路由器的知識有哪些
在企業(yè)無(wú)線(xiàn)網(wǎng)辦公中經(jīng)常會(huì )出現一些使用手冊上未涉及到的疑難和故障,有時(shí)難以應付,無(wú)法解決。
下面就無(wú)線(xiàn)網(wǎng)絡(luò )中由路由器引發(fā)的典型故障進(jìn)行分析,并提供解決方案。 連接錯誤線(xiàn)路不通 網(wǎng)絡(luò )線(xiàn)路不通有很多原因造成,但首先要檢查的是連接配置上有無(wú)錯誤。
在確保路由器電源正常的前提下首先查看寬帶接入端。路由器上的指示燈可以說(shuō)明寬帶線(xiàn)路接入端是否正常,由說(shuō)明書(shū)上可以辨認哪一個(gè)亮燈為寬帶接入端及用戶(hù)端,觀(guān)察其燈閃亮狀態(tài),連續閃爍為正常,不亮或長(cháng)亮不閃爍為故障。
我們可以換一根寬帶膠線(xiàn)代替原來(lái)的線(xiàn)路進(jìn)行連接。 如果故障依舊,請查看路由器的擺放位置與接收電腦的距離是否過(guò)遠或中間有大型障礙物阻隔。
這時(shí)請重新放置路由器,使無(wú)線(xiàn)路由器與接收電腦不要間隔太多障礙物,并使接收電腦在無(wú)線(xiàn)路由器的信號發(fā)射范圍之內即可。 無(wú)線(xiàn)網(wǎng)卡的檢查也必不可少,可以更換新的網(wǎng)卡并重新安裝驅動(dòng)程序進(jìn)行調試,在網(wǎng)卡中點(diǎn)擊“查看可用的無(wú)線(xiàn)連接”刷新“網(wǎng)絡(luò )列表”后設置網(wǎng)卡參數,并在“屬性”中查看有無(wú)數據發(fā)送和接收情況,排除故障。
當然路由器自身的硬件故障也是導致線(xiàn)路不通的直接原因,但這并不是我們所能解決的范圍,應及時(shí)聯(lián)系廠(chǎng)商進(jìn)行維修或更換。 設置不當無(wú)法連接 “設置”可以分為計算機設置和路由器設置兩個(gè)方面:計算機的設置相對簡(jiǎn)單,點(diǎn)擊進(jìn)入“網(wǎng)上鄰居”屬性,開(kāi)啟“無(wú)線(xiàn)網(wǎng)絡(luò )連接”,然后設置“IP地址”、“子網(wǎng)掩碼”及“網(wǎng)關(guān)”,只要使計算機的IT地址與無(wú)線(xiàn)路由器的IT地址在同一網(wǎng)段即可。
“網(wǎng)關(guān)”的設置可以參見(jiàn)網(wǎng)卡說(shuō)明書(shū)中所述,一般情況下與路由器 IP地址相同。 路由器的設置相對較為專(zhuān)業(yè)、復雜些。
首先在系統瀏覽器中輸入無(wú)線(xiàn)路由器IT地址,在彈出的登錄界面中輸入路由器的管理員登錄名及密碼即可進(jìn)入設置界面,此時(shí)需要檢查網(wǎng)絡(luò )服務(wù)商所給你的寬帶賬號及口令是否正確,如不正確,更正后嘗試連接,如果連接后仍無(wú)法打開(kāi)頁(yè)面請點(diǎn)擊進(jìn)入路由器中的“安全設置”選項,查看是否開(kāi)啟“網(wǎng)絡(luò )防火墻”、“IP地址過(guò)濾”以及“MAC地址過(guò)濾”選項,并做更正和設置,排除無(wú)法開(kāi)啟網(wǎng)絡(luò )的故障。 網(wǎng)絡(luò )攻擊導致聯(lián)網(wǎng)異常 ARP攻擊以及非法入侵未設防的無(wú)線(xiàn)局域網(wǎng)已經(jīng)是現在導致聯(lián)網(wǎng)異常的典型案例了。
由于安全設置的疏忽以及后期安全防護的不足,導致少數具有惡意的黑客對企業(yè)的重要信息及保密數據造成了極大的危害。 ARP攻擊會(huì )造成網(wǎng)絡(luò )IT沖突,數據的丟失及溢出,更有甚者會(huì )導致網(wǎng)絡(luò )癱瘓。
這些現象對企業(yè)組網(wǎng)的威脅都是很大的。 首先進(jìn)入“帶有網(wǎng)絡(luò )的安全模式”在無(wú)線(xiàn)網(wǎng)卡屬性處更換電腦的IT地址,之后查看是否可以聯(lián)網(wǎng)。
另外購買(mǎi)安裝專(zhuān)業(yè)的殺毒軟件及網(wǎng)絡(luò )防火墻是比較捷徑的方法之一。 其次進(jìn)入路由器“安全設置”選項進(jìn)行高級設置。
現在的大部分無(wú)線(xiàn)路由器都具有WEP的密碼編碼功能,用最長(cháng)128bit的密碼鍵對數據進(jìn)行編碼,在無(wú)線(xiàn)路由器上進(jìn)行通信,密碼鍵長(cháng)度可以選擇40bit或128bit。利用MAC地址和預設的網(wǎng)絡(luò )ID來(lái)限制哪些無(wú)線(xiàn)網(wǎng)卡和接入點(diǎn)可以進(jìn)入網(wǎng)絡(luò ),完全可以確保網(wǎng)絡(luò )安全。
對于非法的接收者來(lái)說(shuō),截聽(tīng)無(wú)線(xiàn)網(wǎng)的信號是非常困難的,從而可以有效地防范黑客的入侵破壞和非法用戶(hù)惡意的網(wǎng)絡(luò )攻擊。 最后要注意,在沒(méi)有特殊需要或不具有專(zhuān)業(yè)技能的情況下禁止開(kāi)啟路由器中的“遠程WEB管理”功能選項。
路由器部分功能失靈無(wú)法使用 這個(gè)問(wèn)題大多存在于一些老款的無(wú)線(xiàn)路由器中,當我們在配置路由器高級功能選項的時(shí)候,在反復確認連接無(wú)誤的情況下就是有部分功能無(wú)法開(kāi)啟使用,這時(shí)你也許第一想到是否是硬件出了故障,其實(shí)不然。 首先我們要查看一下路由器系統的版本,在查閱無(wú)線(xiàn)路由器說(shuō)明書(shū)后,看該功能是否支持這個(gè)版本的路由器系統。
路由器的系統通常有許多版本,每個(gè)版本支持不同的功能。如果你當前的軟件版本不支持這個(gè)功能,那就應該找到相應的軟件,先進(jìn)行升級。
點(diǎn)擊進(jìn)入無(wú)線(xiàn)路由器的“系統工具”選項,進(jìn)入后選擇“軟件升級”,此時(shí)在對話(huà)界面中會(huì )顯示當前的軟件版本和硬件版本,在彈出的對話(huà)框中輸入“文件名”(即系統升級的文件名)和“TFTP服務(wù)器IP”后點(diǎn)擊“升級”即可。 升級時(shí)要注意:選擇與當前硬件版本一致的軟件進(jìn)行升級,在升級過(guò)程中千萬(wàn)不要關(guān)閉路由器的電源,否則將導致路由器損壞而無(wú)法使用,在網(wǎng)絡(luò )穩定的情況下升級過(guò)程很短,整個(gè)過(guò)程不會(huì )超過(guò)一分鐘。
當你發(fā)現路由器在升級完畢后重啟,請不要擔心,這是正常的,一般升級過(guò)后,路由器工作情況會(huì )更加穩定,并增加一些適用于此版本更多的新功能。
4.網(wǎng)絡(luò )于路由 網(wǎng)管得知識
第一部分:計算機結構及工作原理、各種零配件的性能參數及主流品牌、計算機硬件的組裝,CMOS設置,硬盤(pán)的分區,格式化、Windows98/2000/XP的安裝、硬件驅動(dòng)程序和應用程序的安裝、Windows注冊表的結構,備份及應用、Windows的內核:CPU、內存、硬盤(pán)等分配、軟硬件系統的優(yōu)化設置,整機性能評測、計算機病毒的原理及防治、常見(jiàn)軟硬件故障的原因,現象及解決、正確分辨市場(chǎng)假貨、水貨,軟硬件產(chǎn)品 的銷(xiāo)售技巧。
第二部分:網(wǎng)絡(luò )的基本構成,發(fā)展和拓撲設計,10BASE-T局域網(wǎng)的構建與實(shí)現,以及各種服務(wù)器的結構與特征,以太網(wǎng)對等網(wǎng)等各種方式。TCP/IP的四層模型與OSI七層模型的異同,TCP/IP協(xié)議剖析,如何設置IP地址,子網(wǎng)掩碼,默認網(wǎng)關(guān),區分子網(wǎng)和網(wǎng)段及集線(xiàn)器,交換機和路由器,RJ45網(wǎng)線(xiàn)制作和種網(wǎng)吧的組建及維護,NT、WIN2000server、Linux服務(wù)器的搭建,98對等網(wǎng)的組建與調試和代理服務(wù)器的設置 第三部分:Win2000配置,用戶(hù)及權限、文件及文件夾的管理,新特性活動(dòng)目錄的管理,組策略。
網(wǎng)絡(luò )資源的監控、系統環(huán)境的設置、磁盤(pán)系統的管理。Web、Ftp、DNS、DHCP、WINS等服務(wù)器的安裝配置及管理。
利用Exchange郵件服務(wù)器軟件實(shí)現企業(yè)內部個(gè)人郵件信箱服務(wù)器、公告欄服務(wù)器、網(wǎng)站收發(fā)電子郵件服務(wù)器、聊天服務(wù)器的建立和管理。SQLServer中數據庫的創(chuàng )建、表的創(chuàng )建及發(fā)布、數據庫的備份及恢復、表的導入及導出等一系列維護和管理方法。
代理服務(wù)器基本原理。利用MicrosoftProxy為例實(shí)現代理服務(wù)器的設置及管理。
第四部分:代理服務(wù)器基本原理。利用MicrosoftProxy為例實(shí)現代理服務(wù)器的設置及管理。
流行網(wǎng)管軟件CiscoWork2000的配置、使用和管理技巧,在一臺監控計算機上管理網(wǎng)絡(luò )中所有的路由器和交換機,實(shí)時(shí)監控網(wǎng)絡(luò )流量,及時(shí)發(fā)現網(wǎng)絡(luò )問(wèn)題。路由與交換技術(shù):路由原理的講解,并通過(guò)對路由器配置實(shí)例的學(xué)習掌握Cisco路由器的常用配置命令及配置。
交換原理的講解,通過(guò)對交換機配置實(shí)例的學(xué)習掌握交換機的常用配置命令及配置。 第五部分:系統進(jìn)行手工定制、系統性能檢測管理、內核設置與編譯。
ftp服務(wù)與Samba服務(wù),其它服務(wù),如,DHCP、NFS等。Web網(wǎng)絡(luò )服務(wù)。
包括:Apache服務(wù)的配置使用及安全設置。其它web服務(wù)軟件的介紹。
DNS技術(shù)及應用。一些簡(jiǎn)單的路由技術(shù)一些簡(jiǎn)單的負載均衡技術(shù)。
Mail網(wǎng)絡(luò )服務(wù)。包括:sendmail的配置與使用,Qmail的配置與使用。
一些mail客戶(hù)端程序的使用 第六部分:網(wǎng)絡(luò )安全的基本概述,網(wǎng)絡(luò )協(xié)議的介紹,常規加密的基本知識,公鑰密鑰加密的基本知識及數字簽名,身份難驗證,用PGP及數字證書(shū)進(jìn)行郵件加密實(shí)驗,全面講述在環(huán)境下實(shí)施網(wǎng)絡(luò )安全對策,Windows98下各種漏洞、攻擊類(lèi)型和防御方法及安全配置方案(系統安全、IE安全、Outlook的安全等)。結合黑客攻擊過(guò)程全面講述在WindowsNT環(huán)境下實(shí)施網(wǎng)絡(luò )安全對策。
WindowsNT下各種漏洞、攻擊類(lèi)型和防御方法及安全配置方案,全面講述在Windows2000環(huán)境下實(shí)施網(wǎng)絡(luò )安全對策,Windows系統的日志安全、WEB安全,軟件防火墻的實(shí)施。Windows2000下各種漏洞、攻擊類(lèi)型和防御方法及安全配置方 案。
第七部分:Linux管理員部分一、基本應用1、GNU/linux介紹、RedhatLinux的安裝。2、系統知識(shell、文件系統、管道與重定向、進(jìn)程概念)、常用系統命令介紹(ls、cp、mkdir、rm、vi、man、chmod等)3、基本系統管理(包括:系統啟動(dòng)過(guò)程介紹、磁盤(pán)管理、用戶(hù)管理、日志查看、tar/gz包的使用、rpm軟件包管理等。
二、基本系統服務(wù)(包括:圖形終端、基本網(wǎng)絡(luò )服務(wù))(9個(gè)課時(shí))1、圖形終端(即,x-window)的配置與使用。圍繞KDE和(或)GNOME,展示UNIX系統的友好界面。
2、簡(jiǎn)單的shell教本編寫(xiě)方法,環(huán)境變量3、Linux下IP網(wǎng)絡(luò )的基本配置(IP地址、網(wǎng)關(guān)、名字)4、Linux下的網(wǎng)絡(luò )服務(wù)的配置與使用(包括ftp、DNS、Apache、Sendmail、samba的基本配置)。基于RedHat的setup和linuxcon。
5.網(wǎng)絡(luò )安全之無(wú)線(xiàn)路由器安全設置要注意什么
設置網(wǎng)絡(luò )密鑰 無(wú)線(xiàn)加密協(xié)議(WEP)是對無(wú)線(xiàn)網(wǎng)絡(luò )中傳輸的數據進(jìn)行加密的一種標準方法。
現在大多數的無(wú)線(xiàn)設備只具備WEP加密,更為安全的WPA加密還未被廣泛使用。 目前,無(wú)線(xiàn)路由器或AP的密鑰類(lèi)型一般有兩種。
例如,所使用的無(wú)線(xiàn)路由器便有64位和128位的加密類(lèi)型,分別輸入10個(gè)或26個(gè)字符串作為加密密碼。 在這里要提醒各位,許多無(wú)線(xiàn)路由器或AP在出廠(chǎng)時(shí),數據傳輸加密功能是關(guān)閉的,如果你拿來(lái)就用而不作進(jìn)一步設置的話(huà),那么你的無(wú)線(xiàn)網(wǎng)絡(luò )就成為了一個(gè)“不設防”的擺設。
因此,為你的無(wú)線(xiàn)網(wǎng)絡(luò )進(jìn)行加密設置是極為重要的。 測試結果:選用了64位加密方式,實(shí)測中,通過(guò)Network Stumbler等軟件發(fā)現了無(wú)線(xiàn)網(wǎng)絡(luò )的存在,但由于無(wú)法獲取密碼,不能使用該無(wú)線(xiàn)網(wǎng)絡(luò )。
禁用SSID廣播 通俗地說(shuō),SSID便是你給自己的無(wú)線(xiàn)網(wǎng)絡(luò )所取的名字。需要注意的是,同一生產(chǎn)商推出的無(wú)線(xiàn)路由器或AP都使用了相同的SSID,一旦那些企圖非法連接的攻擊者利用通用的初始化字符串來(lái)連接無(wú)線(xiàn)網(wǎng)絡(luò ),就極易建立起一條非法的連接,從而給我們的無(wú)線(xiàn)網(wǎng)絡(luò )帶來(lái)威脅。
因此,建議你最好能夠將SSID命名為一些較有個(gè)性的名字。 無(wú)線(xiàn)路由器一般都會(huì )提供“允許SSID廣播”功能。
如果你不想讓自己的無(wú)線(xiàn)網(wǎng)絡(luò )被別人通過(guò)SSID名稱(chēng)搜索到,那么最好“禁止SSID廣播”。你的無(wú)線(xiàn)網(wǎng)絡(luò )仍然可以使用,只是不會(huì )出現在其他人所搜索到的可用網(wǎng)絡(luò )列表中。
小提示:通過(guò)禁止SSID廣播設置后,無(wú)線(xiàn)網(wǎng)絡(luò )的效率會(huì )受到一定的影響,但以此換取安全性的提高,認為還是值得的。 測試結果:由于沒(méi)有進(jìn)行SSID廣播,該無(wú)線(xiàn)網(wǎng)絡(luò )被無(wú)線(xiàn)網(wǎng)卡忽略了,尤其是在使用Windows XP管理無(wú)線(xiàn)網(wǎng)絡(luò )時(shí),達到了“掩人耳目”的目的。
禁用DHCP DHCP功能可在無(wú)線(xiàn)局域網(wǎng)內自動(dòng)為每臺電腦分配IP地址,不需要用戶(hù)設置IP地址、子網(wǎng)掩碼以及其他所需要的TCP/IP參數。如果啟用了DHCP功能,那么別人就能很容易地使用你的無(wú)線(xiàn)網(wǎng)絡(luò )。
因此,禁用DHCP功能對無(wú)線(xiàn)網(wǎng)絡(luò )而言很有必要。 在無(wú)線(xiàn)路由器的“DHCP服務(wù)器”設置項下將DHCP服務(wù)器設定為“不啟用”即可。
測試結果:由于無(wú)法獲得IP地址和DNB服務(wù)器信息,既使能找到該無(wú)線(xiàn)網(wǎng)絡(luò )信號,仍然不能使用網(wǎng)絡(luò )。 啟用MAC地址、IP地址過(guò)濾 在無(wú)線(xiàn)路由器的設置項中,啟用MAC地址過(guò)濾功能時(shí),要注意的是,在“過(guò)濾規則”中一定要選擇“僅允許已設MAC地址列表中已生效的MAC地址訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò )”這類(lèi)的選項。
另外,如果在無(wú)線(xiàn)局域網(wǎng)中禁用了DHCP功能,那么建議你為每臺使用無(wú)線(xiàn)服務(wù)的電腦都設置一個(gè)固定的IP地址,然后將這些IP地址都輸入IP地址允許列表中。啟用了無(wú)線(xiàn)路由器的IP地址過(guò)濾功能后,只有IP地址在列表中的用戶(hù)才能正常訪(fǎng)問(wèn)網(wǎng)絡(luò ),其他人只能干瞪眼了。
測試結果:MAC地址過(guò)濾和IP地址過(guò)濾設置好后,即使有人勉強入侵了無(wú)線(xiàn)網(wǎng)絡(luò ),但由于MAC地址和IP地址被無(wú)線(xiàn)路由器的過(guò)濾功能禁止掉了,因此無(wú)線(xiàn)網(wǎng)絡(luò )仍然無(wú)法使用。 總 結 實(shí)際上在實(shí)測的過(guò)程中發(fā)現,前面提到的任一方式都可以保護好自己的無(wú)線(xiàn)網(wǎng)絡(luò ),所以普通用戶(hù)無(wú)須擔憂(yōu),可以放心使用。
另外,如果在機場(chǎng)、會(huì )議室等公共場(chǎng)合使用一些公用的無(wú)線(xiàn)網(wǎng)絡(luò ),一定要記住關(guān)閉自己的文檔和打印共享功能,因為這類(lèi)共享的文檔很容易被同一個(gè)局域網(wǎng)內的另外一個(gè)客戶(hù)端所訪(fǎng)問(wèn)。
6.什么是信息安全
什么是信息安全信息安全是指信息網(wǎng)絡(luò )的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務(wù)不中斷。
信息安全是一門(mén)涉及計算機科學(xué)、網(wǎng)絡(luò )技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數學(xué)、數論、信息論等多種學(xué)科的綜合性學(xué)科。從廣義來(lái)說(shuō),凡是涉及到網(wǎng)絡(luò )上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò )安全的研究領(lǐng)域。
信息安全的實(shí)現目標◆ 真實(shí)性:對信息的來(lái)源進(jìn)行判斷,能對偽造來(lái)源的信息予以鑒別。◆ 保密性:保證機密信息不被竊聽(tīng),或竊聽(tīng)者不能了解信息的真實(shí)含義。
◆ 完整性:保證數據的一致性,防止數據被非法用戶(hù)篡改。◆ 可用性:保證合法用戶(hù)對信息和資源的使用不會(huì )被不正當地拒絕。
◆ 不可抵賴(lài)性:建立有效的責任機制,防止用戶(hù)否認其行為,這一點(diǎn)在電子商務(wù)中是極其重要的。◆ 可控制性:對信息的傳播及內容具有控制能力。
◆ 可審查性:對出現的網(wǎng)絡(luò )安全問(wèn)題提供調查的依據和手段 主要的信息安全威脅◆ 竊取:非法用戶(hù)通過(guò)數據竊聽(tīng)的手段獲得敏感信息。 ◆ 截取:非法用戶(hù)首先獲得信息,再將此信息發(fā)送給真實(shí)接收者。
◆ 偽造:將偽造的信息發(fā)送給接收者。 ◆ 篡改:非法用戶(hù)對合法用戶(hù)之間的通訊信息進(jìn)行修改,再發(fā)送給接收者。
◆ 拒絕服務(wù)攻擊:攻擊服務(wù)系統,造成系統癱瘓,阻止合法用戶(hù)獲得服務(wù)。 ◆ 行為否認:合法用戶(hù)否認已經(jīng)發(fā)生的行為。
◆ 非授權訪(fǎng)問(wèn):未經(jīng)系統授權而使用網(wǎng)絡(luò )或計算機資源。 ◆ 傳播病毒:通過(guò)網(wǎng)絡(luò )傳播計算機病毒,其破壞性非常高,而且用戶(hù)很難防范。
信息安全威脅的主要來(lái)源◆ 自然災害、意外事故;◆ 計算機犯罪;◆ 人為錯誤,比如使用不當,安全意識差等; ◆ "黑客" 行為;◆ 內部泄密;◆ 外部泄密;◆ 信息丟失;◆ 電子諜報,比如信息流量分析、信息竊取等;◆ 信息戰;◆ 網(wǎng)絡(luò )協(xié)議自身缺陷缺陷,例如TCP/IP協(xié)議的安全問(wèn)題等等。 信息安全策略信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。
實(shí)現信息安全,不但靠先進(jìn)的技術(shù),而且也得靠嚴格的安全管理,法律約束和安全教育:◆ 先進(jìn)的信息安全技術(shù)是網(wǎng)絡(luò )安全的根本保證。用戶(hù)對自身面臨的威脅進(jìn)行風(fēng)險評估,決定其所需要的安全服務(wù)種類(lèi),選擇相應的安全機制,然后集成先進(jìn)的安全技術(shù),形成一個(gè)全方位的安全系統;◆ 嚴格的安全管理。
各計算機網(wǎng)絡(luò )使用機構,企業(yè)和單位應建立相應的網(wǎng)絡(luò )安全管理辦法,加強內部管理,建立合適的網(wǎng)絡(luò )安全管理系統,加強用戶(hù)管理和授權管理,建立安全審計和跟蹤體系,提高整體網(wǎng)絡(luò )安全意識;◆ 制訂嚴格的法律、法規。計算機網(wǎng)絡(luò )是一種新生事物。
它的許多行為無(wú)法可依,無(wú)章可循,導致網(wǎng)絡(luò )上計算機犯罪處于無(wú)序狀態(tài)。面對日趨嚴重的網(wǎng)絡(luò )上犯罪,必須建立與網(wǎng)絡(luò )安全相關(guān)的法律、法規,使非法分子懾于法律,不敢輕舉妄動(dòng)。
信息安全涉及的主要問(wèn)題◆ 網(wǎng)絡(luò )攻擊與攻擊檢測、防范問(wèn)題◆ 安全漏洞與安全對策問(wèn)題◆ 信息安全保密問(wèn)題◆ 系統內部安全防范問(wèn)題◆ 防病毒問(wèn)題◆ 數據備份與恢復問(wèn)題、災難恢復問(wèn)題信息安全技術(shù)簡(jiǎn)介目前,在市場(chǎng)上比較流行,而又能夠代表未來(lái)發(fā)展方向的安全產(chǎn)品大致有以下幾類(lèi):◆ 防火墻:防火墻在某種意義上可以說(shuō)是一種訪(fǎng)問(wèn)控制產(chǎn)品。它在內部網(wǎng)絡(luò )與不安全的外部網(wǎng)絡(luò )之間設置障礙,阻止外界對內部資源的非法訪(fǎng)問(wèn),防止內部對外部的不安全訪(fǎng)問(wèn)。
主要技術(shù)有:包過(guò)濾技術(shù),應用網(wǎng)關(guān)技術(shù),代理服務(wù)技術(shù)。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對內部網(wǎng)絡(luò )的攻擊,并且能夠實(shí)現數據流的監控、過(guò)濾、記錄和報告功能,較好地隔斷內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )的連接。
但它其本身可能存在安全問(wèn)題,也可能會(huì )是一個(gè)潛在的瓶頸。◆ 安全路由器:由于WAN連接需要專(zhuān)用的路由器設備,因而可通過(guò)路由器來(lái)控制網(wǎng)絡(luò )傳輸。
通常采用訪(fǎng)問(wèn)控制列表技術(shù)來(lái)控制網(wǎng)絡(luò )信息流。◆ 虛擬專(zhuān)用網(wǎng)(VPN):虛擬專(zhuān)用網(wǎng)(VPN)是在公共數據網(wǎng)絡(luò )上,通過(guò)采用數據加密技術(shù)和訪(fǎng)問(wèn)控制技術(shù),實(shí)現兩個(gè)或多個(gè)可信內部網(wǎng)之間的互聯(lián)。
VPN的構筑通常都要求采用具有加密功能的路由器或防火墻,以實(shí)現數據在公共信道上的可信傳遞。◆ 安全服務(wù)器:安全服務(wù)器主要針對一個(gè)局域網(wǎng)內部信息存儲、傳輸的安全保密問(wèn)題,其實(shí)現功能包括對局域網(wǎng)資源的管理和控制,對局域網(wǎng)內用戶(hù)的管理,以及局域網(wǎng)中所有安全相關(guān)事件的審計和跟蹤。
◆ 電子簽證機構--CA和PKI產(chǎn)品:電子簽證機構(CA)作為通信的第三方,為各種服務(wù)提供可信任的認證服務(wù)。CA可向用戶(hù)發(fā)行電子簽證證書(shū),為用戶(hù)提供成員身份驗證和密鑰管理等功能。
PKI產(chǎn)品可以提供更多的功能和更好的服務(wù),將成為所有應用的計算基礎結構的核心部件。◆ 用戶(hù)認證產(chǎn)品:由于IC卡技術(shù)的日益成熟和完善,IC卡被更為廣泛地用于用戶(hù)認證產(chǎn)品中,用來(lái)存儲用戶(hù)的個(gè)人私鑰,并與其它技術(shù)如動(dòng)態(tài)口令相結合,對用戶(hù)身份進(jìn)行有效的識別。
同時(shí),還可利用IC卡上的個(gè)人私鑰與數字簽名技術(shù)結合,實(shí)現數字簽名機制。隨著(zhù)模式識別技術(shù)的發(fā)展,諸如指紋、視網(wǎng)膜、臉部特。
7.網(wǎng)絡(luò )安全解析路由器維護與設置要注意什么
路由器是局域網(wǎng)連接外部網(wǎng)絡(luò )的重要橋梁,是網(wǎng)絡(luò )系統中不可或缺的重要部件,也是網(wǎng)絡(luò )安全的前沿關(guān)口。
但是路由器的維護卻很少被大家所重視。試想,如果路由器連自身的安全都沒(méi)有保障,整個(gè)網(wǎng)絡(luò )也就毫無(wú)安全可言。
因此在網(wǎng)絡(luò )安全管理上,必須對路由器進(jìn)行合理規劃、配置,采取必要的安全保護措施,避免因路由器自身的安全問(wèn)題而給整個(gè)網(wǎng)絡(luò )系統帶來(lái)漏洞和風(fēng)險。 我們下面就給大家介紹一些路由器加強路由器安全的措施和方法,讓我們的網(wǎng)絡(luò )更安全。
1。為路由器間的協(xié)議交換增加認證功能,提高網(wǎng)絡(luò )安全性 路由器的一個(gè)重要功能是路由的管理和維護,目前具有一定規模的網(wǎng)絡(luò )都采用動(dòng)態(tài)的路由協(xié)議,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP 等。
當一臺設置了相同路由協(xié)議和相同區域標示符的路由器加入網(wǎng)絡(luò )后,會(huì )學(xué)習網(wǎng)絡(luò )上的路由信息表。但此種方法可能導致網(wǎng)絡(luò )拓撲信息泄漏,也可能由于向網(wǎng)絡(luò )發(fā)送自己的路由信息表,擾亂網(wǎng)絡(luò )上正常工作的路由信息表,嚴重時(shí)可以使整個(gè)網(wǎng)絡(luò )癱瘓。
這個(gè)問(wèn)題的解決辦法是對網(wǎng)絡(luò )內的路由器之間相互交流的路由信息進(jìn)行認證。 當路由器配置了認證方式,就會(huì )鑒別路由信息的收發(fā)方。
2。路由器的物理安全防范 路由器控制端口是具有特殊權限的端口,如果攻擊者物理接觸路由器后,斷電重啟,實(shí)施“密碼修復流程”,進(jìn)而登錄路由器,就可以完全控制路由器。
3。保護路由器口令 在備份的路由器配置文件中,密碼即使是用加密的形式存放,密碼明文仍存在被破解的可能。
一旦密碼泄漏,網(wǎng)絡(luò )也就毫無(wú)安全可言。 4。
阻止察看路由器診斷信息 關(guān)閉命令如下: 以下是引用片段:no service tcp-small-servers no service udp-small-servers 5。阻止查看到路由器當前的用戶(hù)列表 關(guān)閉命令為: 以下是引用片段:no service finger 6。
關(guān)閉CDP服務(wù) 在OSI二層協(xié)議即鏈路層的基礎上可發(fā)現對端路由器的部分配置信息: 設備平臺、操作系統版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable關(guān)閉這個(gè)服務(wù)。
7。阻止路由器接收帶源路由標記的包,將帶有源路由選項的數據流丟棄 “IP source-route”是一個(gè)全局配置命令,允許路由器處理帶源路由選項標記的數據流。
啟用源路由選項后,源路由信息指定的路由使數據流能夠越過(guò)默認的路由,這種包就可能繞過(guò)防火墻。關(guān)閉命令如下: 以下是引用片段:no ip source-route 8。
關(guān)閉路由器廣播包的轉發(fā) Sumrf D。o。
S攻擊以有廣播轉發(fā)配置的路由器作為反射板,占用網(wǎng)絡(luò )資源,甚至造成網(wǎng)絡(luò )的癱瘓。 應在每個(gè)端口應用“no ip directed-broadcast”關(guān)閉路由器廣播包。
