局域網(wǎng)安全有哪些防護(hù)措施

應(yīng)對(duì)網(wǎng)絡(luò)攻擊我們應(yīng)該采取這樣的防護(hù) 措施 呢?以下我整理的 局域網(wǎng)安全 的防護(hù)措施，供大家參考，希望大家能夠有所收獲!

創(chuàng)新互聯(lián)公司在網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、app軟件開發(fā)公司、網(wǎng)站運(yùn)營(yíng)等方面均有出色的表現(xiàn)，憑借多年豐富的經(jīng)驗(yàn)，我們會(huì)仔細(xì)了解各客戶的需求而做出多方面的分析、設(shè)計(jì)、整合，為客戶設(shè)計(jì)出具風(fēng)格及創(chuàng)意性的商業(yè)解決方案，我們更提供一系列營(yíng)銷型網(wǎng)站建設(shè)，網(wǎng)站制作和網(wǎng)站推廣的服務(wù)，以推動(dòng)各中小企業(yè)全面信息化，并利用創(chuàng)新技術(shù)幫助各行業(yè)提升企業(yè)形象和運(yùn)營(yíng)效率。

局域網(wǎng)安全的防護(hù)措施：

(1)、物理安全

存放位置：將關(guān)鍵設(shè)備集中存放到一個(gè)單獨(dú)的機(jī)房中，并提供良好的通風(fēng)、消防

電氣設(shè)施條件

人員管理：對(duì)進(jìn)入機(jī)房的人員進(jìn)行嚴(yán)格管理，盡可能減少能夠直接接觸物理設(shè)備

的人員數(shù)量

硬件冗余：對(duì)關(guān)鍵硬件提供硬件冗余，如RAID磁盤陣列、熱備份路由、UPS不

間斷電源等

(2)、網(wǎng)絡(luò)安全

端口管理：關(guān)閉非必要開放的端口，若有可能，網(wǎng)絡(luò)服務(wù)盡量使用非默認(rèn)端口，

如遠(yuǎn)程桌面連接所使用的3389端口，最好將其更改為其他端口

加密傳輸：盡量使用加密的通信方式傳輸數(shù)據(jù)據(jù)，如HTTPS、，IPsec...，

一般只對(duì)TCP協(xié)議的端口加密，UDP端口不加密

入侵檢測(cè)：?jiǎn)⒂萌肭謾z測(cè)，對(duì)所有的訪問請(qǐng)求進(jìn)行特征識(shí)別，及時(shí)丟棄或封鎖攻

擊請(qǐng)求，并發(fā)送擊擊警告

(3)、 系統(tǒng)安全

系統(tǒng)/軟件漏洞：選用正版應(yīng)用軟件，并及時(shí)安裝各種漏洞及修復(fù)補(bǔ)丁

賬號(hào)/權(quán)限管理：對(duì)系統(tǒng)賬號(hào)設(shè)置高強(qiáng)度的復(fù)雜密碼，并定期進(jìn)行更換，對(duì)特定

人員開放其所需的最小權(quán)限

軟件/服務(wù)管理：卸載無(wú)關(guān)軟件，關(guān)閉非必要的系統(tǒng)服務(wù)

病毒/木馬防護(hù)：統(tǒng)一部署防病毒軟件，并啟用實(shí)時(shí)監(jiān)控

(4)、數(shù)據(jù)安全

數(shù)據(jù)加密：對(duì)保密性要求較高的數(shù)據(jù)據(jù)進(jìn)行加密，如可以使用微軟的EFS

(Encrypting File System)來(lái)對(duì)文件系統(tǒng)進(jìn)行加密

用戶管理：嚴(yán)格控制用戶對(duì)關(guān)鍵數(shù)據(jù)的訪問，并記錄用戶的訪問日志

數(shù)據(jù)備份：對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行備份，制定合理的備份方案，可以將其備份到遠(yuǎn)程

服務(wù)器、或保存到光盤、磁帶等物理介質(zhì)中，并保證備份的可用性

無(wú)線局域網(wǎng)中的安全措施

摘要：由于在現(xiàn)在局域網(wǎng)建網(wǎng)的地域越來(lái)越復(fù)雜，很多地方應(yīng)用了無(wú)線技術(shù)來(lái)建設(shè)局域網(wǎng)，但是由于 無(wú)線網(wǎng)絡(luò) 應(yīng)用電磁波作為傳輸媒介，因此安全問題就顯得尤為突出。本文通過(guò)對(duì)危害無(wú)線局域網(wǎng)的一些因素的敘述，給出了一些應(yīng)對(duì)的安全 措施 ，以保證無(wú)線局域網(wǎng)能夠安全，正常的運(yùn)行。

關(guān)鍵字：WLAN，WEP，SSID，DHCP，安全措施

1、 引言

WLAN是Wireless LAN的簡(jiǎn)稱，即無(wú)線局域網(wǎng)。所謂無(wú)線網(wǎng)絡(luò)，顧名思義就是利用無(wú)線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò)，由于WLAN產(chǎn)品不需要鋪設(shè)通信電纜，可以靈活機(jī)動(dòng)地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化。WIAN技術(shù)為用戶提供更好的移動(dòng)性、靈活性和擴(kuò)展性，在難以重新布線的區(qū)域提供快速而經(jīng)濟(jì)有效的局域網(wǎng)接入，無(wú)線網(wǎng)橋可用于為遠(yuǎn)程站點(diǎn)和用戶提供局域網(wǎng)接入。但是，當(dāng)用戶對(duì)WLAN的期望日益升高時(shí)，其安全問題隨著應(yīng)用的深入表露無(wú)遺，并成為制約WLAN發(fā)展的主要瓶頸。[1]

2、 威脅無(wú)線局域網(wǎng)的因素

首先應(yīng)該被考慮的問題是，由于WLAN是以無(wú)線電波作為上網(wǎng)的傳輸媒介，因此無(wú)線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問，無(wú)線網(wǎng)絡(luò)信號(hào)可以傳播到預(yù)期的方位以外的地域，具體情況要根據(jù)建筑材料和環(huán)境而定，這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了WLAN的接入點(diǎn)，給入侵者有機(jī)可乘，可以在預(yù)期范圍以外的地方訪問WLAN，竊聽網(wǎng)絡(luò)中的數(shù)據(jù)，有機(jī)會(huì)入侵WLAN應(yīng)用各種攻擊手段對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊，當(dāng)然是在入侵者擁有了網(wǎng)絡(luò)訪問權(quán)以后。

其次，由于WLAN還是符合所有網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)，所以計(jì)算機(jī)病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有WLAN內(nèi)的計(jì)算機(jī)，甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴(yán)重的后果。

因此，WLAN中存在的安全威脅因素主要是：竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等。

IEEE 802.1x認(rèn)證協(xié)議發(fā)明者VipinJain接受媒體采訪時(shí)表示：“談到無(wú)線網(wǎng)絡(luò)，企業(yè)的IT經(jīng)理人最擔(dān)心兩件事：首先，市面上的標(biāo)準(zhǔn)與安全解決方案太多，使得用戶無(wú)所適從；第二，如何避免網(wǎng)絡(luò)遭到入侵或攻擊？無(wú)線媒體是一個(gè)共享的媒介，不會(huì)受限于建筑物實(shí)體界線，因此有人要入侵網(wǎng)絡(luò)可以說(shuō)十分容易?！盵1]因此WLAN的安全措施還是任重而道遠(yuǎn)。

3、無(wú)線局域網(wǎng)的安全措施

3.1采用無(wú)線加密協(xié)議防止未授權(quán)用戶

保護(hù)無(wú)線網(wǎng)絡(luò)安全的最基本手段是加密，通過(guò)簡(jiǎn)單的設(shè)置AP和無(wú)線網(wǎng)卡等設(shè)備，就可以啟用WEP加密。無(wú)線加密協(xié)議(WEP)是對(duì)無(wú)線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn) 方法 。許多無(wú)線設(shè)備商為了方便安裝產(chǎn)品，交付設(shè)備時(shí)關(guān)閉了WEP功能。但一旦采用這種做法，黑客就能利用無(wú)線嗅探器直接讀取數(shù)據(jù)。建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換，有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。另外一個(gè)必須注意問題就是用于標(biāo)識(shí)每個(gè)無(wú)線網(wǎng)絡(luò)的服務(wù)者身份(SSID)，在部署無(wú)線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID更換為自定義的SSID?，F(xiàn)在的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，否則應(yīng)該禁用SSID廣播，這樣可以減少無(wú)線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。[2]

但是目前IEEE 802.11標(biāo)準(zhǔn)中的WEP安全解決方案，在15分鐘內(nèi)就可被攻破，已被廣泛證實(shí)不安全。所以如果采用支持128位的WEP，解除128位的WEP的是相當(dāng)困難的，同時(shí)也要定期的更改WEP，保證無(wú)線局域網(wǎng)的安全。如果設(shè)備提供了動(dòng)態(tài)WEP功能，最好應(yīng)用動(dòng)態(tài)WEP，值得我們慶幸的，Windows XP本身就提供了這種支持，您可以選中WEP選項(xiàng)“自動(dòng)為我提供這個(gè)密鑰”。同時(shí)，應(yīng)該使用IPSec，，SSH或其他

WEP的替代方法。不要僅使用WEP來(lái)保護(hù)數(shù)據(jù)。

3.2 改變服務(wù)集標(biāo)識(shí)符并且禁止SSID廣播

SSID是無(wú)線接人的身份標(biāo)識(shí)符，用戶用它來(lái)建立與接入點(diǎn)之間的連接。這個(gè)身份標(biāo)識(shí)符是由通信設(shè)備制造商設(shè)置的，并且每個(gè)廠商都用自己的缺省值。例如，3COM 的設(shè)備都用“101”。因此，知道這些標(biāo)識(shí)符的黑客可以很容易不經(jīng)過(guò)授權(quán)就享受你的無(wú)線服務(wù)。你需要給你的每個(gè)無(wú)線接入點(diǎn)設(shè)置一個(gè)唯一并且難以推測(cè)的 SSID。如果可能的話。還應(yīng)該禁止你的SSID向外廣播。這樣，你的無(wú)線網(wǎng)絡(luò)就不能夠通過(guò)廣播的方式來(lái)吸納更多用戶．當(dāng)然這并不是說(shuō)你的網(wǎng)絡(luò)不可用．只是它不會(huì)出現(xiàn)在可使用網(wǎng)絡(luò)的名單中。[3]

3.3 靜態(tài)IP與MAC地址綁定

無(wú)線路由器或AP在分配IP地址時(shí)，通常是默認(rèn)使用DHCP即動(dòng)態(tài)IP地址分配，這對(duì)無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)是有安全隱患的，“不法”分子只要找到了無(wú)線網(wǎng)絡(luò)，很容易就可以通過(guò)DHCP而得到一個(gè)合法的IP地址，由此就進(jìn)入了局域網(wǎng)絡(luò)中。因此，建議關(guān)閉DHCP服務(wù)，為家里的每臺(tái)電腦分配固定的靜態(tài)IP地址，然后再把這個(gè)IP地址與該電腦網(wǎng)卡的MAC地址進(jìn)行綁定，這樣就能大大提升網(wǎng)絡(luò)的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因?yàn)檫€要驗(yàn)證綁定的MAC地址，相當(dāng)于兩重關(guān)卡。[4]設(shè)置方法如下：

首先，在無(wú)線路由器或AP的設(shè)置中關(guān)閉“DHCP服務(wù)器”。然后激活“固定DHCP”功能，把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計(jì)算機(jī)描述”)，以后要固定使用的IP地址，其網(wǎng)卡的MAC地址都如實(shí)填寫好，最后點(diǎn)“執(zhí)行”就可以了。

3.4 技術(shù)在無(wú)線網(wǎng)絡(luò)中的應(yīng)用

對(duì)于高安全要求或大型的無(wú)線網(wǎng)絡(luò)，方案是一個(gè)更好的選擇。因?yàn)樵诖笮蜔o(wú)線網(wǎng)絡(luò)中維護(hù)工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務(wù)。

對(duì)于無(wú)線商用網(wǎng)絡(luò)，基于的解決方案是當(dāng)今WEP機(jī)制和MAC地址過(guò)濾機(jī)制的最佳替代者。方案已經(jīng)廣泛應(yīng)用于Internet遠(yuǎn)程用戶的安全接入。在遠(yuǎn)程用戶接入的應(yīng)用中，在不可信的網(wǎng)絡(luò)(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協(xié)議，包括點(diǎn)對(duì)點(diǎn)的隧道協(xié)議和第二層隧道協(xié)議都可以與標(biāo)準(zhǔn)的、集中的認(rèn)證協(xié)議一起使用。同樣，技術(shù)可以應(yīng)用在無(wú)線的安全接入上，在這個(gè)應(yīng)用中，不可信的網(wǎng)絡(luò)是無(wú)線網(wǎng)絡(luò)。AP可以被定義成無(wú)WEP機(jī)制的開放式接入(各AP仍應(yīng)定義成采用SSID機(jī)制把無(wú)線網(wǎng)絡(luò)分割成多個(gè)無(wú)線服務(wù)子網(wǎng))，但是無(wú)線接入網(wǎng)絡(luò)VLAN (AP和服務(wù)器之問的線路)從局域網(wǎng)已經(jīng)被服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來(lái)。服務(wù)器提供網(wǎng)絡(luò)的認(rèn)征和加密，并允當(dāng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部。與WEP機(jī)制和MAC地址過(guò)濾接入不同，方案具有較強(qiáng)的擴(kuò)充、升級(jí)性能，可應(yīng)用于大規(guī)模的無(wú)線網(wǎng)絡(luò)。

3.5 無(wú)線入侵檢測(cè)系統(tǒng)

無(wú)線入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類似，但無(wú)線入侵檢測(cè)系統(tǒng)增加了無(wú)線局域網(wǎng)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性。侵入竊密檢測(cè)軟件對(duì)于阻攔雙面惡魔攻擊來(lái)說(shuō)，是必須采取的一種措施。如今入侵檢測(cè)系統(tǒng)已用于無(wú)線局域網(wǎng)。來(lái)監(jiān)視分析用戶的活動(dòng)，判斷入侵事件的類型，檢測(cè)非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。無(wú)線入侵檢測(cè)系統(tǒng)不但能找出入侵者，還能加強(qiáng)策略。通過(guò)使用強(qiáng)有力的策略，會(huì)使無(wú)線局域網(wǎng)更安全。無(wú)線入侵檢測(cè)系統(tǒng)還能檢測(cè)到MAC地址欺騙。他是通過(guò)一種順序分析，找出那些偽裝WAP的無(wú)線上網(wǎng)用戶無(wú)線入侵檢測(cè)系統(tǒng)可以通過(guò)提供商來(lái)購(gòu)買，為了發(fā)揮無(wú)線入侵檢測(cè)系統(tǒng)的優(yōu)良的性能，他們同時(shí)還提供無(wú)線入侵檢測(cè)系統(tǒng)的解決方案。[1]

3.6 采用身份驗(yàn)證和授權(quán)

當(dāng)攻擊者了解網(wǎng)絡(luò)的SSID、網(wǎng)絡(luò)的MAC地址或甚至WEP密鑰等信息時(shí)，他們可以嘗試建立與AP關(guān)聯(lián)。目前，有3種方法在用戶建立與無(wú)線網(wǎng)絡(luò)的關(guān)聯(lián)前對(duì)他們進(jìn)行身份驗(yàn)證。開放身份驗(yàn)證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗(yàn)證的問題在于，如果您沒有其他的保護(hù)或身份驗(yàn)證機(jī)制，那么您的無(wú)線網(wǎng)絡(luò)將是完全開放的，就像其名稱所表示的。共享機(jī)密身份驗(yàn)證機(jī)制類似于“口令一響應(yīng)”身份驗(yàn)證系統(tǒng)。在STA與AP共享同一個(gè)WEP密鑰時(shí)使用這一機(jī)制。STA向AP發(fā)送申請(qǐng)，然后AP發(fā)回口令。接著，STA利用口令和加密的響應(yīng)進(jìn)行回復(fù)。這種方法的漏洞在于口令是通過(guò)明文傳輸給STA的，因此如果有人能夠同時(shí)截取口令和響應(yīng)，那么他們就可能找到用于加密的密鑰。采用其他的身份驗(yàn)證／授權(quán)機(jī)制。使用 802.1x，或證書對(duì)無(wú)線網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證和授權(quán)。使用客戶端證書可以使攻擊者幾乎無(wú)法獲得訪問權(quán)限。

[5]

3.7其他安全措施

除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術(shù)，例如設(shè)置附加的第三方數(shù)據(jù)加密方案，即使信號(hào)被盜聽也難以理解其中的內(nèi)容；加強(qiáng)企業(yè)內(nèi)部管理等等的方法來(lái)加強(qiáng)WLAN的安全性。

4、 結(jié)論

無(wú)線網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛，但是隨之而來(lái)的網(wǎng)絡(luò)安全問題也越來(lái)越突出，在文中分析了WLAN的不安全因素，針對(duì)不安全因素給出了解決的安全措施，有效的防范竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等的攻擊手段，但是由于現(xiàn)在各個(gè)無(wú)線網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣，所以現(xiàn)在在本文中介紹的一些安全措施也許在不同的設(shè)備上會(huì)有些不一樣，但是安全措施的思路是正確的，能夠保證無(wú)線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性，有效地維護(hù)無(wú)線局域網(wǎng)的安全。

參考文獻(xiàn)

[1]李園,王燕鴻,張鉞偉,顧偉偉.無(wú)線網(wǎng)絡(luò)安全性威脅及應(yīng)對(duì)措施[J].現(xiàn)代電子技術(shù).2007, (5):91-94.

[2]王秋華,章堅(jiān)武.淺析無(wú)線網(wǎng)絡(luò)實(shí)施的安全措施[J].中國(guó)科技信息.2005, (17):18.

[3]邊鋒.不得不說(shuō)無(wú)線網(wǎng)絡(luò)安全六種簡(jiǎn)單技巧[J].計(jì)算機(jī)與網(wǎng)絡(luò).2006, (20):6.

[4]冷月.無(wú)線網(wǎng)絡(luò)保衛(wèi)戰(zhàn)[J].計(jì)算機(jī)應(yīng)用文摘.2006,(26)：79-81.

[5]宋濤.無(wú)線局域網(wǎng)的安全措施[J]. 電信交換.2004, (1):22-27.

如何保護(hù)內(nèi)網(wǎng)安全

內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個(gè)主要組成部分，其安全性也受到越來(lái)越多的重視。今天就給大家腦補(bǔ)一下內(nèi)網(wǎng)安全的保護(hù)方法。

對(duì)于大多數(shù)企業(yè)局域網(wǎng)來(lái)說(shuō)，路由器已經(jīng)成為正在使用之中的最重要的安全設(shè)備之一。一般來(lái)說(shuō)，大多數(shù)網(wǎng)絡(luò)都有一個(gè)主要的接入點(diǎn)。這就是通常與專用防火墻一起使用的“邊界路由器”。

經(jīng)過(guò)恰當(dāng)?shù)脑O(shè)置，邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網(wǎng)絡(luò)之外。如果你愿意的話，這種路由器還能夠讓好人進(jìn)入網(wǎng)絡(luò)。不過(guò)，沒有恰當(dāng)設(shè)置的路由器只是比根本就沒有安全措施稍微好一點(diǎn)。

在下列指南中，我們將研究一下你可以用來(lái)保護(hù)網(wǎng)絡(luò)安全的9個(gè)方便的步驟。這些步驟能夠保證你擁有一道保護(hù)你的網(wǎng)絡(luò)的磚墻，而不是一個(gè)敞開的大門。

1.修改默認(rèn)的口令!

據(jù)國(guó)外調(diào)查顯示，80%的安全突破事件是由薄弱的口令引起的。網(wǎng)絡(luò)上有大多數(shù)路由器的廣泛的默認(rèn)口令列表。你可以肯定在某些地方的某個(gè)人會(huì)知道你的生日。SecurityStats.com網(wǎng)站維護(hù)一個(gè)詳盡的可用/不可用口令列表，以及一個(gè)口令的可靠性測(cè)試。

2.關(guān)閉IP直接廣播(IP Directed Broadcast)

你的服務(wù)器是很聽話的。讓它做什么它就做什么，而且不管是誰(shuí)發(fā)出的指令。Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個(gè)“ICMP echo”請(qǐng)求。這要求所有的主機(jī)對(duì)這個(gè)廣播請(qǐng)求做出回應(yīng)。這種情況至少會(huì)降低你的網(wǎng)絡(luò)性能。

參考你的路由器信息文件，了解如何關(guān)閉IP直接廣播。例如，“Central(config)#no ip source-route”這個(gè)指令將關(guān)閉思科路由器的IP直接廣播地址。

3.如果可能，關(guān)閉路由器的HTTP設(shè)置

正如思科的技術(shù)說(shuō)明中簡(jiǎn)要說(shuō)明的那樣，HTTP使用的身份識(shí)別協(xié)議相當(dāng)于向整個(gè)網(wǎng)絡(luò)發(fā)送一個(gè)未加密的口令。然而，遺憾的是，HTTP協(xié)議中沒有一個(gè)用于驗(yàn)證口令或者一次性口令的有效規(guī)定。

雖然這種未加密的口令對(duì)于你從遠(yuǎn)程位置(例如家里)設(shè)置你的路由器也許是非常方便的，但是，你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認(rèn)的口令!如果你必須遠(yuǎn)程管理路由器，你一定要確保使用SNMPv3以上版本的協(xié)議，因?yàn)樗С指鼑?yán)格的口令。

4.封鎖ICMP ping請(qǐng)求

ping的主要目的是識(shí)別目前正在使用的主機(jī)。因此，ping通常用于更大規(guī)模的協(xié)同性攻擊之前的偵察活動(dòng)。通過(guò)取消遠(yuǎn)程用戶接收ping請(qǐng)求的應(yīng)答能力，你就更容易避開那些無(wú)人注意的掃描活動(dòng)或者防御那些尋找容易攻擊的'目標(biāo)的“腳本小子”(script kiddies)。

請(qǐng)注意，這樣做實(shí)際上并不能保護(hù)你的網(wǎng)絡(luò)不受攻擊，但是，這將使你不太可能成為一個(gè)攻擊目標(biāo)。

5.關(guān)閉IP源路由

IP協(xié)議允許一臺(tái)主機(jī)指定數(shù)據(jù)包通過(guò)你的網(wǎng)絡(luò)的路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個(gè)功能的合法的應(yīng)用是用于診斷連接故障。但是，這種用途很少應(yīng)用。這項(xiàng)功能最常用的用途是為了偵察目的對(duì)你的網(wǎng)絡(luò)進(jìn)行鏡像，或者用于攻擊者在你的專用網(wǎng)絡(luò)中尋找一個(gè)后門。除非指定這項(xiàng)功能只能用于診斷故障，否則應(yīng)該關(guān)閉這個(gè)功能。

6.確定你的數(shù)據(jù)包過(guò)濾的需求

封鎖端口有兩項(xiàng)理由。其中之一根據(jù)你對(duì)安全水平的要求對(duì)于你的網(wǎng)絡(luò)是合適的。

對(duì)于高度安全的網(wǎng)絡(luò)來(lái)說(shuō)，特別是在存儲(chǔ)或者保持秘密數(shù)據(jù)的時(shí)候，通常要求經(jīng)過(guò)允許才可以過(guò)濾。在這種規(guī)定中，除了網(wǎng)路功能需要的之外，所有的端口和IP地址都必要要封鎖。例如，用于web通信的端口80和用于SMTP的110/25端口允許來(lái)自指定地址的訪問，而所有其它端口和地址都可以關(guān)閉。

大多數(shù)網(wǎng)絡(luò)將通過(guò)使用“按拒絕請(qǐng)求實(shí)施過(guò)濾”的方案享受可以接受的安全水平。當(dāng)使用這種過(guò)濾政策時(shí)，可以封鎖你的網(wǎng)絡(luò)沒有使用的端口和特洛伊木馬或者偵查活動(dòng)常用的端口來(lái)增強(qiáng)你的網(wǎng)絡(luò)的安全性。例如，封鎖139端口和445(TCP和UDP)端口將使黑客更難對(duì)你的網(wǎng)絡(luò)實(shí)施窮舉攻擊。封鎖31337(TCP和UDP)端口將使Back Orifice木馬程序更難攻擊你的網(wǎng)絡(luò)。

這項(xiàng)工作應(yīng)該在網(wǎng)絡(luò)規(guī)劃階段確定，這時(shí)候安全水平的要求應(yīng)該符合網(wǎng)絡(luò)用戶的需求。查看這些端口的列表，了解這些端口正常的用途。

7.建立準(zhǔn)許進(jìn)入和外出的地址過(guò)濾政策

在你的邊界路由器上建立政策以便根據(jù)IP地址過(guò)濾進(jìn)出網(wǎng)絡(luò)的違反安全規(guī)定的行為。除了特殊的不同尋常的案例之外，所有試圖從你的網(wǎng)絡(luò)內(nèi)部訪問互聯(lián)網(wǎng)的IP地址都應(yīng)該有一個(gè)分配給你的局域網(wǎng)的地址。例如，192.168.0.1 這個(gè)地址也許通過(guò)這個(gè)路由器訪問互聯(lián)網(wǎng)是合法的。但是，216.239.55.99這個(gè)地址很可能是欺騙性的，并且是一場(chǎng)攻擊的一部分。

相反，來(lái)自互聯(lián)網(wǎng)外部的通信的源地址應(yīng)該不是你的內(nèi)部網(wǎng)絡(luò)的一部分。因此，應(yīng)該封鎖入網(wǎng)的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最后，擁有源地址的通信或者保留的和無(wú)法路由的目標(biāo)地址的所有的通信都應(yīng)該允許通過(guò)這臺(tái)路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

從網(wǎng)絡(luò)嗅探的角度看，路由器比集線器更安全。這是因?yàn)槁酚善鞲鶕?jù)IP地址智能化地路由數(shù)據(jù)包，而集線器相所有的節(jié)點(diǎn)播出數(shù)據(jù)。如果連接到那臺(tái)集線器的一個(gè)系統(tǒng)將其網(wǎng)絡(luò)適配器置于混亂的模式，它們就能夠接收和看到所有的廣播，包括口令、POP3通信和Web通信。

然后，重要的是確保物理訪問你的網(wǎng)絡(luò)設(shè)備是安全的，以防止未經(jīng)允許的筆記本電腦等嗅探設(shè)備放在你的本地子網(wǎng)中。

9.花時(shí)間審閱安全記錄

審閱你的路由器記錄(通過(guò)其內(nèi)置的防火墻功能)是查出安全事件的最有效的方法，無(wú)論是查出正在實(shí)施的攻擊還是未來(lái)攻擊的征候都非常有效。利用出網(wǎng)的記錄，你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟件程序。用心的安全管理員在病毒傳播者作出反應(yīng)之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。

此外，一般來(lái)說(shuō)，路由器位于你的網(wǎng)絡(luò)的邊緣，并且允許你看到進(jìn)出你的網(wǎng)絡(luò)全部通信的狀況。