如何进行有效的企业路由器设置?是企业的相关人员需要认真总结的。“我被安全路由器给忽悠了!”张路(化名)十分气愤的说。张路所在单位前些日子购买了企业路由器,当他看到企业路由器的防御能力介绍后,对单位网络安全问题增强了很多信心。可是好日子没过几天,单位就中了ARP病毒,并遭受了DDoS攻击,使得单位内部网络经常性掉线,即便是能凑合使也是网速如蜗牛爬。
这里不得不说,小张对安全路由器的理解有失偏颇。因为即便是企业已经部署了安全路由器产品,而且其安全功能十分强大,假若使用者对其安全策略设置不当,病毒与攻击也可轻松地绕过企业路由器,对企业的内部网络终端设备发动攻击。这时企业路由器安全功能形同虚设。众所周知,随互联网快速发展,国内企业用户的网络规模日益增长。随之而来的信息安全问题,已经成为众多企业用户最为关心的几大问题之一。就目前大多数用户而言,解决网关安全问题采用的手段多以部署安全路由器或用防火墙构建安全体系为主。
目前,多数制造商对其企业路由器产品均增加安全功能。然而路由器设备一般在出厂时,厂商在安全功能上都不会进行任何设置。用户或者是集成商要根据企业的需要不同,进行针对性设置,以实现更好的防范效果。为了大家不要像小张那样吃一个暗亏,今天笔者将依据多年的使用经验,介绍一下如何设置好企业路由器,让路由器的发挥更好的价值。这也算是抛砖引玉吧。产品说明书十分重要,而这却是我们在网络管理工作中常常忽略的。因此我建议你首先做的,就是要阅读路由器的说明书,看一看它能够实现那些功能,及实现后的效果如何;其次,你可以上网搜索一下,看看你使用的这个产品,还有哪些卖点。不过,有一点可以肯定——大多数路由器在默认状态下,安全功能是不会被启用的。设置企业路由器的安全功能,正是我们防范网络病毒,抵御DDoS攻击最为重要的一步。那么我们就开始进行设置:
启用ACL防网络病毒功能
对于网络安全要求等级较高的企业来说,在存储或者传输加密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都需要关闭。大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,需要封锁你网络中没有使用的端口,同时还要封锁通常被特洛伊木马以及非法网络侦测活动所使用的端口,以此增强网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击(就是在已知一些条件的情况下,把所有的情况都试验一下)。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。
启用MAC地址的过滤
ARP病毒威胁一直令我们比较心烦的问题,它基本上是通过改变网关的MAC地址实现网络攻击的。根据企业的不同的网络结构,IP地址的分配原则,来实现IP/MAC地址的绑定。
内部PC限制NAT的链接数量
NAT功能是在企业网中应用最广的功能,由于IP地址不足的原因,运营商提供给企业网的一般就是1个IP地址,而企业网内部有大量的PC,这么多的PC都要通过这唯一的一个IP地址进行上网,如何做到这点呢?答案就是NAT(网络IP地址转换)。内部PC访问外网的时候,在企业路由器内部建立一个对应列表,列表中包含内部PC的IP地址、访问的外部IP地址,内部的IP端口,访问目的IP端口等信息,所以每次的ping、下载、WEB访问,都有在企业路由器上建立对应关系列表,如果该列表对应的网络链接有数据通讯,这些列表会一直保留在企业路由器中,如果没有数据通讯了,也需要30-100秒才会消失掉。
开启内外网攻击
只要有大量的人去ping这个网站,这个网站就会被摧毁,这个就是所谓的拒绝服务的攻击,用大量的无用的数据请求,让他无暇顾及正常的网络请求。网络上的黑客在发起攻击前,都要对网络上的各个IP地址进行扫描,其中一个常见的扫描方法就是ping,如果有应答,则说明这个ip地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对路由器发起Ping请求,也会把企业网的企业路由器拖跨掉。而多数路由器均有应对这类攻击安全防范措施。
