| 让ADSL宽带路由器更安全 |
| 花的神明 |
|
现在许多单位,住宅小区和家庭都拥有局域网,为了让内网中的电脑都能上网冲浪,普遍安装ADSL宽带路由器实现共享上网。ADSL宽带路由器支持多种网络接入方式,配置起来很灵活,由于一般用户缺乏相应的网络知识和安全意识,并不更改ADSL路由器的默认设置,例如采用默认的用户名和密码等。这就给入侵者以可乘之机,黑客常常通过代理猎手、Adsl密码终结者等工具扫描网络,非法取得用户上网帐号和密码,甚至侵入内网进行破坏,给用户带来不必要的损失。这里就以星网数码路由器为例,来浅谈宽带路由器的安全设置和注意事项。
1. 修改默认的管理端口
ADSL宽带路由器通常使用80端口来实现登录,也有使用21,23端口来管理的。因此只要更改默认的管理端口,就能让大多数扫描器“失灵”。在路由器管理页面上打开“管理”面板,点击“端口设置”链接,在端口设置窗口中修改HTTP端口,Telnet端口和FTP端口(如图1),然后点击“提交&重启”链接保存设置。当以后登录路由器时,使用新的端口即可(如Http://192.168.1.1:8999,假设新端口为8999)。
2. 修改默认的登录密码
入侵者可能通过各种方法扫描路由器,探测到新的连接端口。然后在浏览器中输入路由器地址和端口号,如果弹出登录窗口,根据提示信息确定路由器的类型,输入默认管理员名称和密码(例如华硕的ADSL路由器的管理员名是USER,密码是ADSL pass:adsl1234),就能获得该路由器的控制权。因此更改默认的密码信息就显得很重要,在路由器管理页面上打开“管理”面板,点击“用户配置”链接,在用户信息面板(如图2)中修改用户名和密码即可,为了防止入侵者利用字典进行暴力破解,最好设置复杂的密码,并定期更改。
3. 报文过滤
内网用户通过ADSL宽带路由器上网时,发送和接受的大量数据包都要经过路由器。报文过滤可以分析进出数据包进行分析,可以根据其来源和目的IP决定是否放行。报文过滤是基于IP的控制方式。在“服务”面板中点击“IP过滤”链接,在“安全等级”中设定哪一种安全级别的IP过滤规则有效。例如:当High级别被选择,则仅仅安全级别为高的规则有效,对于选择Medium 和Low设置也相应一样,如None被选择,IP过滤将被禁止。点击其中的“添加”按钮,打开IP过滤设置窗口,输入规则ID,在Action中选择“Accept”(接受)或“Deny”(拒绝),在方向中选择“Incoming”(进入)或者“Outcoming”(送出)。然后输入起始/结束时间,源地址和目标地址,设置源端口和目标端口,选择协议,设置数据包的尺寸等数据,可以任意控制进出内网的数据包。例如为了防止员工上班时间聊QQ,可以在规则ID中输入“10001”,选中“启用”项,在Action中选择“Deny”,在方向中选择 “Outcoming”,在开始时间中输入“08:30:00”,在结束时间中输入“17:30:00”,在目标地址中输入QQ服务器地址,如219.133.49.14。在目标端口中输入8000,因为QQ的默认端口号是8000,在协议中选择“UDP”。这样QQ数据包就无法通过路由器了。
4. 慎用DMZ功能
DMZ(Demilitarized Zone非军事区)涉及到公网用户访问内网服务器的问题,其作用是把Web,E-mail等允许外部访问的服务器单独接在该区端口,使整个需要保护的内网接在信任区端口,实现内外网分离。对于一般用户无需启动该功能。在 “服务”面板的“IP过滤”界面中的“DMZ Default Action”列表中选择“Deny”,即可禁用DMZ功能。如果必须使用DMZ功能,那么内网的DMZ主机应配置好防火墙和杀病毒软件。
5.配置防火墙
在“服务”面板中点击“防火墙”链接,打开防火墙配置窗口。将“Blacklist Status”设置项设置为“Enable”,使防火墙的黑名单功能生效。可以利用IP过滤功能将非法IP地址添加到防火墙中,来自这些非法IP地址的所有连接请求,都会被自动过滤掉。在“Attack Protection”和“DOS Protection”中分别选中“Enable”项,激活攻击保护功能。同时还可以在“Max half open TCP Conn”处输入合适的百分数,来限制在不完全开放TCP/IP连接状态下,所能允许的最大连接百分比,当本地计算机的连接开放数目超过该数值时,当前的半开放连接状态就会自动被关闭掉,同时会产生一个新的TCP连接来替代以前的半开放连接。在“Max ICMP Conn”设置框中,输入当前ICMP连接数的百分比大小,当实际连接百分比数目超过预设值时,本地计算机同样也会用新的连接来取代以前的连接,进行ICMP报文信息的传输。还可以根据局域网电脑的数量,来有针对性地设置“Max Single Host Conn”数值,以保证每台单个计算机都能有效、安全地进行网络信息传输。点击“黑名单”按钮,查明到底是哪个计算机对你进行了攻击。 |
|
文章检索
网络>热门文章
|