1. 如何進行無線路由器安全設置
無線網路加密是通過對無線電波里的數據加密提供安全性,主要用於無線區域網中鏈路層信息數據的保密?現在大多數的無線設備具有WEP加密和WAP加密功能,那麼我們使用WEP加密,還是WAP加密呢?顯然WEP出現得比WAP早,WAP比WEP安全性更好一些。 WEP採用對稱加密機制,數據的加密和解密採用相同的密鑰和加密演算法?啟用加密後,兩個無線網路設備要進行通信,必須均配置為使用加密,具有相同的密鑰和演算法?WEP支持64位和128位加密,對於64位加密,密鑰為10個十六進制字元(0-9和A-F)或5個ASCII字元;對於128位加密,密鑰為26個十六進制字元或13個ASCII字元。 (1)使用多組WEP密鑰,使用一組固定WEP密鑰,將會非常不安全,使用多組WEP密鑰會提高安全性,但是請注意WEP密鑰是保存在Flash中,所以某些黑客取得您的網路上的任何一個設備,就可以進入您的網路; (2)如果你使用的是舊型的無線路由器,且只支持WEP,你可以使用128位的WEPKey,這樣會讓你的無線網路更安全 (3)定期更換你的WEP密鑰 (4)你可以去製造商的網站下載一個固件升級,升級後就能添加WPA支持 WPA(Wi-Fi保護接入)能夠解決WEP所不能解決的安全問題?簡單來說,WEP的安全性不高的問題來源於網路上各台設備共享使用一個密鑰?該密鑰存在不安全因素,其調度演算法上的弱點讓惡意黑客能相對容易地攔截並破壞WEP密碼,進而訪問到區域網的內部資源?、。 WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術?由於加強了生成加密密鑰的演算法,因此即便收集到分組信息並對其進行解析,也幾乎無法計算出通用密鑰?其原理為根據通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰?然後與WEP一樣將此密鑰用於RC4加密處理。 通過這種處理,所有客戶端的所有分組信息所交換的數據將由各不相同的密鑰加密而成?無論收集到多少這樣的數據,要想破解出原始的通用密鑰幾乎是不可能的?WPA還追加了防止數據中途被篡改的功能和認證功能?由於具備這些功能,WEP中此前倍受指責的缺點得以全部解決?WPA不僅是一種比WEP更為強大的加密方法,而且有更為豐富的內涵?作為802.11i標準的子集,WPA包含了認證?加密和數據完整性校驗三個組成部分,是一個完整的安全性方案。 在這里要提醒各位,許多無線路由器或AP在出廠時,數據傳輸加密功能是關閉的,如果你拿來就用而不作進一步設置的話,那麼你的無線網路就成為了一個「不設防"的擺設。
2. 路由器的無線上網的安全設置怎麼弄(在線等)
對於大多數企業區域網來說,路由器已經成為正在使用之中的最重要的安全設備之一。一般來說,大多數網路都有一個主要的接入點。這就是通常與專用防火牆一起使用的「邊界路由器」。
經過恰當的設置,邊界路由器能夠把幾乎所有的最頑固的壞分子擋在網路之外。如果你願意的話,這種路由器還能夠讓好人進入網路。不過,沒有恰當設置的路由器只是比根本就沒有安全措施稍微好一點。
在下列指南中,我們將研究一下你可以用來保護網路安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網路的磚牆,而不是一個敞開的大門。
1.修改默認的口令!
據卡內基梅隆大學的CERT/CC(計算機應急反應小組/控制中心)稱,80%的安全突破事件是由薄弱的口令引起的。網路上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats.com網站維護一個詳盡的可用/不可用口令列表,以及一個口令的可靠性測試。
2.關閉IP直接廣播(IP Directed Broadcast)
你的伺服器是很聽話的。讓它做什麼它就做什麼,而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中,攻擊者使用假冒的源地址向你的網路廣播地址發送一個「ICMP echo」請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網路性能。
參考你的路由器信息文件,了解如何關閉IP直接廣播。例如,「Central(config)#no ip source-route」這個指令將關閉思科路由器的IP直接廣播地址。
3.如果可能,關閉路由器的HTTP設置
正如思科的技術說明中簡要說明的那樣,HTTP使用的身份識別協議相當於向整個網路發送一個未加密的口令。然而,遺憾的是,HTTP協議中沒有一個用於驗證口令或者一次性口令的有效規定。
雖然這種未加密的口令對於你從遠程位置(例如家裡)設置你的路由器也許是非常方便的,但是,你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器,你一定要確保使用SNMPv3以上版本的協議,因為它支持更嚴格的口令。
4.封鎖ICMP ping請求
ping的主要目的是識別目前正在使用的主機。因此,ping通常用於更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力,你就更容易避開那些無人注意的掃描活動或者防禦那些尋找容易攻擊的目標的「腳本小子」(script kiddies)。
請注意,這樣做實際上並不能保護你的網路不受攻擊,但是,這將使你不太可能成為一個攻擊目標。
5.關閉IP源路由
IP協議允許一台主機指定數據包通過你的網路的路由,而不是允許網路組件確定最佳的路徑。這個功能的合法的應用是用於診斷連接故障。但是,這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網路進行鏡像,或者用於攻擊者在你的專用網路中尋找一個後門。除非指定這項功能只能用於診斷故障,否則應該關閉這個功能。
6.確定你的數據包過濾的需求
封鎖埠有兩項理由。其中之一根據你對安全水平的要求對於你的網路是合適的。
對於高度安全的網路來說,特別是在存儲或者保持秘密數據的時候,通常要求經過允許才可以過濾。在這種規定中,除了網路功能需要的之外,所有的埠和IP地址都必要要封鎖。例如,用於web通信的埠80和用於SMTP的110/25埠允許來自指定地址的訪問,而所有其它埠和地址都可以關閉。
大多數網路將通過使用「按拒絕請求實施過濾」的方案享受可以接受的安全水平。當使用這種過濾政策時,可以封鎖你的網路沒有使用的埠和特洛伊木馬或者偵查活動常用的埠來增強你的網路的安全性。例如,封鎖139埠和445(TCP和UDP)埠將使黑客更難對你的網路實施窮舉攻擊。封鎖31337(TCP和UDP)埠將使Back Orifice木馬程序更難攻擊你的網路。
這項工作應該在網路規劃階段確定,這時候安全水平的要求應該符合網路用戶的需求。查看這些埠的列表,了解這些埠正常的用途。
7.建立准許進入和外出的地址過濾政策
在你的邊界路由器上建立政策以便根據IP地址過濾進出網路的違反安全規定的行為。除了特殊的不同尋常的案例之外,所有試圖從你的網路內部訪問互聯網的IP地址都應該有一個分配給你的區域網的地址。例如,192.168.0.1這個地址也許通過這個路由器訪問互聯網是合法的。但是,216.239.55.99這個地址很可能是欺騙性的,並且是一場攻擊的一部分。
相反,來自互聯網外部的通信的源地址應該不是你的內部網路的一部分。因此,應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最後,擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這台路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
從網路嗅探的角度看,路由器比集線器更安全。這是因為路由器根據IP地址智能化地路由數據包,而集線器相所有的節點播出數據。如果連接到那台集線器的一個系統將其網路適配器置於混亂的模式,它們就能夠接收和看到所有的廣播,包括口令、POP3通信和Web通信。
然後,重要的是確保物理訪問你的網路設備是安全的,以防止未經允許的筆記本電腦等嗅探設備放在你的本地子網中。
9.花時間審閱安全記錄
審閱你的路由器記錄(通過其內置的防火牆功能)是查出安全事件的最有效的方法,無論是查出正在實施的攻擊還是未來攻擊的徵候都非常有效。利用出網的記錄,你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟體程序。用心的安全管理員在病毒傳播者作出反應之前能夠查出「紅色代碼」和「Nimda」病毒的攻擊。
此外,一般來說,路由器位於你的網路的邊緣,並且允許你看到進出你的網路全部通信的狀況。
3. 請教路由器有關安全方面的設置方法
通過代理伺服器或雙網卡實驗,可以限制計算機對某些埠的訪問,從而讓這台計算機不能訪問某些網站
下面只講一下代理伺服器的配置:
代理伺服器英文全稱是ProxyServer,可以代理網路用戶去獲取網路信息,我們上網過程中,一般是使用瀏覽器直接連接Internet站點獲取網路信息,而代理伺服器則是介於瀏覽器和Web伺服器之間的一台伺服器,使用代理伺服器之後,我們的瀏覽器就不是直接到Web伺服器去獲取網頁信息了,而是先訪問代理伺服器,然後由代理伺服器獲取所需要的信息並傳送給瀏覽器。也就是說,用戶通過代理伺服器訪問Internet時,映射的是代理伺服器的IP地址,因而可以有效保障本機的IP地址不泄漏。其次,代理伺服器可以節省大量的IP地址資源,有效地降低網路的維護成本。同時,代理伺服器還可以提高網路的訪問速度,大部分代理伺服器都有緩沖的功能,可以起到快速瀏覽的作用。
網路代理伺服器與區域網中的代理伺服器不同,它是代理訪問,而且一般代理伺服器地址也是不固定的,具有非長期性的特點,所以使用代理伺服器,必須隨時搜索更新自己的代理伺服器。比如通過「代理獵手」搜索。
Proxy Server的工作原理是:當客戶在瀏覽器中設置好Proxy Server後,你使用瀏覽器訪問所有WWW站點的請求都不會直接發給目的主機,而是先發給代理伺服器,代理伺服器接受了客戶的請求以後,由代理伺服器向目的主機發出請求,並接受目的主機的數據,存於代理伺服器的硬碟中,然後再由代理伺服器將客戶要求的數據發給客戶。
代理伺服器的作用有四個:
一、提高訪問速度。因為客戶要求的數據存於代理伺服器的硬碟中,因此下次這個客戶或其它客戶再要求相同目的站點的數據時,就會直接從代理伺服器的硬碟中讀取,代理伺服器起到了緩存的作用,對熱門站點有很多客戶訪問時,代理伺服器的優勢更為明顯。
二、Proxy可以起到防火牆的作用。因為所有使用代理伺服器的用戶都必須通過代理伺服器訪問遠程站點,因此在代理伺服器上就可以設置相應的限制,以過濾或屏蔽掉某些信息。這是區域網網管對區域網用戶訪問范圍限制最常用的辦法,也是區域網用戶為什麼不能瀏覽某些網站的原因。撥號用戶如果使用代理伺服器,同樣必須服從代理伺服器的訪問限制,除非你不使用這個代理伺服器。
三、通過代理伺服器訪問一些不能直接訪問的網站。互聯網上有許多開放的代理伺服器,客戶在訪問許可權受到限制時,而這些代理伺服器的訪問許可權是不受限制的,剛好代理伺服器在客戶的訪問范圍之內,那麼客戶通過代理伺服器訪問目標網站就成為可能。國內的高校多使用教育網,不能出國,但通過代理伺服器,就能實現訪問網際網路,這就是高校內代理伺服器熱的原因所在。
四、安全性得到提高。無論是上聊天室還是瀏覽網站,目的網站只能知道你來自於代理伺服器,而你的真實IP就無法測知,這就使得使用者的安全性得以提高。
代理伺服器的設置:
要設置代理伺服器,必須先知道代理伺服器地址和埠號,然後在IE或NC的代理伺服器設置欄中填入相應地址和埠號就可以了。假設我們有一個代理伺服器的地址是Proxy.net.net,埠號是3000,在IE中的配置方法是使用查看菜單的Internet選項/連接/代理伺服器,然後在通過代理伺服器訪問Internet選項前面的復選框中打上鉤,在地址框中填入代理伺服器地址,如本例中假設代理伺服器地址是proxy.net.net,再在埠框中填上埠號3000,點一下最下方的應用按鈕,再點確定,設置完成。下次再使用IE時用戶就會發現,無論你瀏覽什麼網站,IE總是先與代理伺服器連接。用NC的話,設置稍繁一點。使用edit菜單下的Preferences菜單項,再選擇Advanced下的Proxies,此時在右側Proxies選項中選擇第二項Manral Proxy configuration,再點其右邊的View…按鈕,就會出現代理伺服器的配置界面,在代理伺服器地址和埠號欄中填入相應的內容,點擊OK,退回到參數設置窗口,再點擊OK,代理伺服器的設置工作就完成了。當客戶再次瀏覽網頁時,就會自動向你設定的代理伺服器發出申請,並得到數據,在瀏覽網站時,無論是IE或是NC都可以在瀏覽器狀態欄中清楚地看到先連代理伺服器,再連目標網站的過程。
但是,千萬不要把Proxy Server和Router搞混了,Proxy Server是建立在應用層上的服務軟體,而Router則是一台網路設備或一台電腦,它是工作在IP層的,數據到達IP層後就進行轉發。一般一個Proxy Server工作在一台既具有MODEM和網卡的計算機上的。不同的Proxy Server軟體提供的服務不同,一般都提供WWW,FTP等常用的服務。在內部網中每台客機都必須具有一個獨立的IP地址,且在客機的"控制面板-Internet 項"中"連接"中配置使用Proxy Server且指向Proxy Server IP地址和服務的埠號。當Proxy Server啟動時,將利用Winsock.dll開辟一個指定的服務埠,等待客機的的請求。當Proxy Server的MODEM撥號上網後,你的Proxy Server就可以工作了。當你在你的IE發出一連接請求時,你的客機就直接將數據包發到Proxy Server,當伺服器捕獲這個IP包時,首先要分析它是什麼請求,如果是HTTP請求,Proxy Server就向你的ISP發出HTTP請求,當Proxy Server收到回應時,就將此IP包轉發到內部網路上,你的客機就會獲得此IP包。另外你的Proxy Server還可以做為一個很好的防火牆。具體操作,請參考你的Proxy Server的readme文件。
在您訪問網際網路的Web伺服器時,您可知道會有多少個人信息泄漏給別人?在上網訪問的過程中,Web瀏覽器至少會把20多項有關您個人的信息在您毫無覺察的情況下悄悄地送往Web伺服器上。 這些個人信息如果是被傳送到知名網站或是大型企業的Web伺服器上,還不會有什麼大問題。若是被傳送到連是誰開設的網站都不清楚的Web伺服器上,則會令人深感不安。Web瀏覽器傳送給Web伺服器的信息,用行話來說就是"環境變數"。其主要內容為:(1)分配給電腦的IP地址(REMOTE_A DDR)和主機名(REMOTE_HOST);(2)Web瀏覽器所使用的埠序號(REMOTE_PORT);(3)Web瀏覽器的產品名(HTTP_USER_AGENT);(4)所瀏覽過的網站中最新一個的網頁地址(HTTP_REFERER)等。
上述各項雖然不包含電子郵件地址及姓名等的個人信息,但(1)中的IP地址和主機名在安全性方面委實令人難以放心,可是採取什麼樣的方法才可以遮掩自己的IP地址呢?
解決這個問題其實很簡單。只要通過代理伺服器(proxy server)訪問Web伺服器即可。代理伺服器的作用在於它可替Web伺服器承受來自各個終端的訪問請求。在企業網方面,代理伺服器被設置在公司內部的LAN與網際網路相互鏈接的部分上。拔號上網時,可使用網際網路接駁商提供的代理伺服器即可
4. 15分求路由器和交換機的配置命令!詳細!
不同品牌的都不一樣啊
銳捷網路 配置命令 和CISCO 基本一樣 自己總結的
交換機
密碼
1234(config)#enable secret level 1 0 100
1234(config)#enable secret level 15 0 100
遠程登入密碼
1234(config)#line vty 0 4
1234(config-line)#password 100
1234(config-line)#end
交換機管理IP
1234(config)#interface vlan 1
1234(config-if)#ip address 192.168.1.10 255.255.255.0
1234(config-if)#no shutdown
修改交換機老化時間
1234(config)#mac-address-table aging-time 20
1234(config)#end
添刪vlan
1234(config)#vlan 888
1234(config-vlan)#name a888
1234(config)#no vlan 888
添加access口
1234(config)#interface gigabitEthernet 0/10
1234(config-if)#switchport mode access
1234(config-if)#switchport access vlan 10
切換assess trunk
1234(config-if)#switchport mode access
1234(config-if)#switchport mode trunk
指定特定一個native vlan
1234(config-if)#switchport trunk native vlan 10
配置trunk口的許可vlan列表
1234(config-if)#switchport trunk allowed vlan ?
add Add VLANs to the current list
all All VLANs
except All VLANs except the following
remove Remove VLANs from the current list
速成樹協議
1234(config)#spanning-tree
1234(config)#spanning-tree mode rstp/stp
配置網關:
switch(config)#ip default-gateway 192.168.1.254
交換機基本配置-常見查看命令
查看CPU利用率
show cpu
查看交換機時鍾
show clock
查看交換機日誌
show logging
查看交換機動態學習到的MAC地址表
show mac-address-table dynamic
查看當前交換機運行的配置文件
show running-config
查看交換機硬體、軟體信息
show version
查看交換機的arp表
show arp
顯示介面詳細信息的命令
show interfaces gigabitEthernet 4/1 counters
介面配置
Switch(config)#interface gigabitethernet 0/1
把介面工作模式改為光口。
Switch(config-if)#medium-type fiber
把介面工作模式改為電口。
Switch(config-if)#medium-type copper
速度/雙工配置
進入介面配置模式。
Switch(config)#interface interface-id
設置介面的速率參數,或者設置為auto。
Switch(config-if)#speed {10 | 100 | 1000 | auto }
設置介面的雙工模式。
Switch(config-if)#plex {auto | full | half}
例子
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#speed 1000
Switch(config-if)#plex full
光口不能修改速度和雙工配置,只能auto。
在故障處理的時候,如果遇到規律性的時斷時續或掉包,在排除其他原因後,可以考慮是否和對端設備的速率和雙工模式不匹配,尤其是兩端設備為不同廠商的時候。
VLAN
建立VLAN 100
Switch (config)#vlan 100
該VLAN名稱為ruijie
Switch (config)#name ruijie
將交換機介面劃入VLAN 中:
range表示選取了系列埠1-48,這個對多個埠進行相同配置時非常有用。
Switch (config)#interface range f 0/1-48
將介面劃到VLAN 100中。
Switch (config-if-range)#switchport access vlan 100
將介面劃回到默認VLAN 1中,即埠初始配置。
Switch (config-if-range)#no switchport access vlan
Switch(config)#interface fastEthernet 0/1
該埠工作在access模式下
Switch(config-if)#switchport mode access
該埠工作在trunk模式下
Switch(config-if)#switchport mode trunk
Switch(config)#interface fastEthernet 0/2
設定VLAN要修剪的VLAN。
Switch(config-if)#switchport trunk allowed vlan remove 2-9,11-19,21-4094
取消埠下的VLAN修剪。
Switch(config-if)#no switchport trunk allowed vlan
生成樹
開啟生成樹協議。
Switch(config)#spanning-tree
禁止生成樹協議。
Switch(config)#no spanning-tree
配置生成樹優先順序:
配置設備優先順序為4096。
Switch(config)#spanning-tree priority 4096
數值越低,優先順序別越高。
埠鏡像
配置G0/2為鏡像埠。
Switch (config)# monitor session 1 destination interface G 0/2
配置G0/1為被鏡像埠,且出入雙向數據均被鏡像。
Switch (config)# monitor session 1 source interface G 0/1 both
去掉鏡像1。
Switch (config)# no monitor session 1
埠聚合
Switch(config)#interface fastEthernet 0/1
把埠f0/1加入到聚合組1中。
Switch (config-if)#port-group 1
把埠f0/1從聚合組1中去掉
Switch (config-if)#no port-group 1
建立ACL:
建立ACL訪問控制列表名為ruijie,extend表示建立的是擴展訪
Switch(config)# Ip access-list exten ruijie
問控制列表。
添加ACL的規則:
禁止PING IP地址為192.168.1.1的設備。
Switch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0
禁止埠號為135的應用。
Switch (config-ext-nacl)# deny tcp any any eq 135
禁止協議為www的應用。
Switch (config-ext-nacl)#deny udp any any eq www
允許所有行為。
Switch(config-ext-nacl)# permit ip any any
將ACL應用到具體的介面上:
Switch (config)#interface range f 0/1
把名為ruijie的ACL應用到埠f 0/1上。
Switch (config-if)#ip access-group ruijie in
從介面去除ACL。
Switch (config-if)#no ip access-group ruijie in
刪除ACL:
刪除名為ruijie的ACL。
Switch(config)#no Ip access-list exten ruijie
增加ACE項後,是增加到ACL最後,不可以中間插入,如果要調整ACE的順序,必須整個刪除ACL後再重新配置。
埠安全
Switch (config)#interface range f 0/1
開啟埠安全。
Switch(config-if)# switchport port-security
關閉埠安全。
Switch(config-if)# no switchport port-security
設置埠能包含的最大安全地址數為8。
Switch(config-if)# switchport port-security maximum 8
在介面fastethernet0/1配置一個安全地址00d0.f800.073c,並為其綁定一個IP地址192.168.1.1
Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
刪除介面上配置的安全地址。
Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
防ARP攻擊
IP和MAC地址的綁定
Switch(config)#arp ip-address hardware-address [type] interface-id
Switch(config)#arp 192.168.12.111 00d0.f800.073c arpa g 0/1
綁定網關
進入指定埠進行配置。
Switch(config)#Interface interface-id
配置防止ip-address的ARP欺騙。
Switch(config-if)#Anti-ARP-Spoofing ip ip-address
防STP攻擊
進入埠Fa0/1。
Switch(config)# inter fastEthernet 0/1
打開該埠的的BPDU guard功能。
Switch(config-if)# spanning-tree bpguard enable
關閉該埠的的BPDU guard功能。
Switch(config-if)# spanning-tree bpguard diaable
埠關閉後只能shutdown然後再no shutdown
或者重新啟動交換機才能恢復!
防DOS/DDOS攻擊
進入埠Fa0/1。
Switch(config)# inter fastEthernet 0/1
預防偽造源IP的DOS攻擊的入口過濾功能。
Switch(config-if)#ip deny spoofing-source
關閉入口過濾功能只能在三層介面上配置。
Switch(config-if)#no ip deny spoofing-source
和ACL不能同時存在。
埠關閉後只能shutdown然後再no shutdown
或者重新啟動交換機才能恢復!
防IP掃描攻擊配置:
打開系統保護。
Switch(config)#system-guard enable
關閉系統保護功能。
Switch(config)#no system-guard
DHCP配置
打開DHCP Relay Agent:
Switch(config)#service dhcp
配置DHCP Server的IP地址:
Switch(config)#ip helper-address address
VRRP配置
Switch(config)#Interface interface-id
Switch(config-if)#Standby [group-number] ip ip-address
設置虛擬機的優先順序。
standby [group-number] priority priority
三層交換機配置
SVI:
把VLAN 10配置成SVI。
switch (config)#interface vlan 10
給該SVI介面配置一個IP地址
switch (config-if)#ip address 192.168.1.1 255.255.255.0
Routed Port:
switch (config)#interface fa 0/1
把f 0/1變成路由口。
switch (config-if)#no switch
路由配置:
添加一條路由。
switch (config)#ip route 目的地址 掩碼 下一跳
switch (config)#ip route 210.10.10.0 255.255.255.0 218.8.8.8
WEB登錄口令(特權模式口令)
enable password 1234
telnet登錄口令
line vty 0 4
password 1234
重啟
reload
恢復出廠配置
del config.text
reload
埠監控
mirror master lan 2 slave lan 0 all
DHCP配置
ip dhcp pool ruijie
network 192.168.1.0 255.255.255.0
dns-sever 202.101.98.55
default-router 192.168.1.1
exit
exit
虛擬伺服器
ip nat in sou sta tcp 192.168.0.254 80 61.154.28.207 80 per
DNS中繼
ip nat ap so list 99 de udp 192.168.1.1 53 de 202.96.64.68 53
SNTP配置
sntp enable
sntp interval 600
sntp server 128.9.176.30
DNS配置
ip domain-lookup
ip name-server 202.101.98.55
線路檢測配置
int f1/0
keepalive dns 202.101.98.55
int f1/1
keepalive ping 61.154.28.193
VPN類型
PPTP
L2TP
IPSec
路由設置
一 電信網通雙線
ip route 0.0.0.0 0.0.0.0 61.154.28.193
ip route 58.16.0.0 255.255.0.0 61.134.96.1 網通路由表
二 雙線 內部劃分
access-list 3100 permit ip 192.168.1.2 192.168.1.15 any
access-list 3101 permit ip 192.168.1.16 192.168.1.254 any 定義類型
ip default-route list 3100 out-interface f1/0
ip default-route list 3101 out-interface f1/1 指定出口
vlan劃分
int fa0/0.1
encapsulation dot1q 1
ip address 192.168.10.1 255.255.255.0
vlan part 0
exit
int fa0/0.2
encapsulation dot1q 2
ip address 192.168.20.1 255.255.255.0
vlan port 1
日誌功能開啟
service timestamps log datetime
service sequence-numbers
防攻擊
security anti-wan-attack level high
security anti-lan-attack
限制NAT會話數
ip nat translation per-user 0.0.0.0 200
IP限速
ip nat translation rate-limit ip 0.0.0.0 in 500 out 1000
MAC/IP地址綁定
arp 192.168.0.254 00d0.f800.0001 arpa
arp scan 192.68.1.2 192.168.1.254 int f0/0
arp convert int f0/0
定時發送免費ARP
int f0/0
arp gratuious-send interval 1 10
exit
int f1/0
arp gratuious-send interval 1 10
智能防ARP欺騙功能
security anti-arp-spoof
5. 無線路由器如何安全設置
方法就可以了,建議你先把進入無線路由設置的網站的密碼(和用戶名)先改掉
WEP加密
1、啟用WEP加密。
打開路由器管理界面,「無線設置」->「基本設置」:
「安全認證類型」選擇「自動選擇」,因為「自動選擇」就是在「開放系統」和「共享密鑰」之中自動協商一種,而這兩種的認證方法的安全性沒有什麼區別。
「密鑰格式選擇」選擇「16進制」,還有可選的是「ASCII碼」,這里的設置對安全性沒有任何影響,因為設置「單獨密鑰」的時候需要「16進制」,所以這里推薦使用「16進制」。
「密鑰選擇」必須填入「密鑰2」的位置,這里一定要這樣設置,因為新的升級程序下,密鑰1必須為空,目的是為了配合單獨密鑰的使用(單獨密鑰會在下面的MAC地址過濾中介紹),不這樣設置的話可能會連接不上。密鑰類型選擇64/128/152位,選擇了對應的位數以後「密鑰類型」的長度會變更,本例中我們填入了26位參數11111111111111111111111111 。因為「密鑰格式選擇」為「16進制」,所以「密鑰內容」可以填入字元是0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f,設置完記得保存。
如果不需要使用「單獨密鑰」功能,網卡只需要簡單配置成加密模式,密鑰格式,密鑰內容要和路由器一樣,密鑰設置也要設置為「WEP密鑰2」的位置(和路由器對應),這時候就可以連接上路由器了。
如果你比較有興趣學習的話,還可以繼續往下看
無線路由器加密有以下幾種方法:
1.使用無線路由器提供的WEP,WPA等加密方式.WEP一般設置簡單.
2.或者使用訪問限制,同過MAC地址來限制連接,就是說在訪問限制列表裡輸入MAC的機器,才能連接到你的無線路由器.
3.一種更簡單的,就是關閉SSID廣播,就是無法搜索到你AP的SSID,你只能手工的方式自己填入正確的SSID,才能連接!上述三個方法都可以,但安全性質最好的是通過MAC地址限制訪問.設置都是在無線路由器完成.
下面將對這些加密方式詳細介紹下:
一、先介紹下最簡單的,關閉SSID廣播,這樣無線用戶就搜索不到你的網路標識,可以起到限制其他用戶的連接.具體設置:
a、路由器方設置,在關閉SSID廣播時,你最好改變下SSID廣播號,如果不改動的話,以前連過你網路的用戶,還可以連接;
b、客戶機設置:無線網路---屬性----無線配置---"使用windows配置您的無線網路"--然後點"添加"--寫上你設置的SSID名稱.OK後,---再點屬性,要確認"自動連接到非手選網路"的勾未打上,確定就可以----讓你剛剛設置的SSID號排在最上方,因為SSID廣播關閉後,是你的電腦無線網卡去搜尋路由器,在最上方,可以首先訪問你的無線網路,且避免連接到其他的無線網路.(備注:如果這樣還是上不去網的話,你可以點開無線網路的TCP/IP設置,寫上內網的固定 ip,網關,DNS.一般網關,DNS都是你路由器的ip.)
二、MAC地址限制
2、單獨密鑰的使用。
這里的MAC地址過濾可以指定某些MAC地址可以訪問本無線網路而其他的不可以,「單獨密鑰」功能可以為單個MAC指定一個單獨的密鑰,這個密鑰就只有帶這個MAC地址的網卡可以用,其他網卡不能用,增加了一定的安全性。
打開「無線設置」->「MAC地址過濾」,在「MAC地址過濾」頁面「添加新條目」,如下界面是填入參數的界面:
「MAC地址」參數我們填入的是本例中TL-WN620G的MAC地址00-0A-EB-88-65-06 ,
「類型」可以選擇「允許」/「禁止」/「64位密鑰」/「128位密鑰」/「152位密鑰」 ,本例中選擇了64位密鑰。「允許」和「禁止」只是簡單允許或禁止某一個MAC地址的通過,這和之前的MAC地址功能是一樣的,這里不作為重點。
「密鑰」填入了10位AAAAAAAAAA ,這里沒有「密鑰格式選擇」,只支持「16進制」的輸入。
「狀態」選擇生效。
最後點擊保存即可,保存後會返回上一級界面:
注意到上面的「MAC地址過濾功能」的狀態是「已開啟」,如果是「已關閉」,右邊的按鈕會變成「開啟過濾」,點擊這個按鈕來開啟這一功能。至此,無線路由器這一端配置完成!
順便說一下怎樣獲取網卡MAC地址?可以參考我司網站「網路教室」 文檔《路由器配置指南》相關內容,通過電腦DOS界面運行ipconfig/all這個命令會彈出如下類似信息,紅線勾勒部分「Physical Address」對應的就是處於連接狀態的網卡的MAC地址;
二、網卡TL-WN620G的配置
打開TL-WN620G客戶端應用程序主界面——「用戶文件管理」—>「修改」,會彈出用戶配置文件管理對話框。首先是「常規」頁填入和無線路由器端相同的SSID —— 本例為「TP-LINK」
然後點擊「高級」頁,紅線勾勒部分注意選擇認證模式,可以保持和無線路由器端相同,由於我們的路由器上選擇了「自動選擇」模式,所以這里無論選擇什麼模式都是可以連接的。
如果這個選項是灰色,就請先配置「安全」頁面的參數,回過頭再來這里配置;
接下來我們進入「安全」頁
先選擇「預共享密鑰(靜態WEP)」,然後點擊「配置…..」按鈕,進入設置共享密鑰的界面:
上面用紅線勾勒的參數說明一下:
1)、「密鑰格式」必須選擇「十六進制(0-9,A-F);
2)、總共需要填入兩個密鑰,密鑰1對應的是路由器 「無線配置」->「MAC地址過濾」頁面下設置的單獨密鑰,本例為64位長度的密鑰AAAAAAAAAA ;密鑰2對應的是路由器「無線配置」->「基本設置」頁面下設置的公共密鑰,本例為128位長度的密鑰:11111111111111111111111111 。
3)、最後要選中「WEP密鑰1」。(注意「WEP密鑰1」後面的圓點)
4)、單獨密鑰和公共密鑰的位置是不能更改的。
配置完成,連續點擊兩次「取定」回到客戶端應用程序主界面,我們可以看到網卡和無線路由器已經建立了連接,如下圖所示:
這時候我們進入路由器「無線設置」-「主機狀態」,可以看到已連接的網卡MAC地址;在「主機狀態」頁面,表裡第一個顯示的是無線路由器的MAC地址;
6. 設置路由器554代碼怎麼處理
您好,可能是設置錯誤建議復位重新設置
1、將網線—路由器—電腦之間的線路連接好,啟動電腦和路由器設備;
2、啟動設備後,打開瀏覽器,在地址欄中輸入192.168.1.1進入無線路由器設置界面。(如進不了請翻看路由器底部銘牌或者是路由器使用說明書,不同型號路由器設置的默認都不一樣。)
3、設置界面出現一個登錄路由器的帳號及密碼,輸入默認帳號和密碼admin,也可以參考說明書;
4、登錄成功之後選擇設置向導的界面,默認情況下會自動彈出;
5、選擇設置向導之後會彈出一個窗口說明,通過向導可以設置路由器的基本參數,直接點擊下一步即可;
6、根據設置向導一步一步設置,選擇上網方式,通常ADSL用戶則選擇第一項PPPoE,如果用的是其他的網路服務商則根據實際情況選擇下面兩項,如果不知道該怎麼選擇的話,直接選擇第一項自動選擇即可,方便新手操作,選完點擊下一步;
7、輸入從網路服務商申請到的賬號和密碼,輸入完成後直接下一步;
8、設置wifi密碼,盡量字母數字組合比較復雜一點不容易被蹭網。
9、輸入正確後會提示是否重啟路由器,選擇是確認重啟路由器,重新啟動路由器後即可正常上網。
7. 怎樣進行路由器的安全設置
在這里,你可以得到一些內容廣泛的指南,這些指導信息可以提供一個非常好的開始點。 創建和為路由器編制文檔會在安全地管理路由器的配置方面為你提供最關鍵的步驟:安全地裝載並存儲初始的基準配置是基本要素。 理想情況下,你應該從一個控制台執行初始的配置並將其存儲在一個驅動器上。最重要的是,不要將其存儲在攜帶型電腦的本地驅動器上。移動計算設備(也就是說,攜帶型電腦,PDA設備,存儲卡等)很易被竊取或丟失,這會損害整個的完整性和功能性。 網路網路 在你裝載了配置以後,下一步就是使運行配置與啟動配置保持同步。但不要認為一旦路由器啟動完成並可在上運行就萬事大吉了,你需要維護這個配置並定期修改。 有一些管理人員喜歡在線修改,而另一些喜歡離線修改,然後裝載此配置。兩者各有益處。 若在線修改,你可以獲得即時反饋並能進行語法檢查。舉例來說,如果你拼錯了命令,路由器會發出警告。此外,如果你對路由器作了修改,但卻引起了故障,你就會立即了解這一點。 網路 另一方面,如果你進行離線修改,你就可以添加評論並能夠使用路由配置編輯器。然而,此方法並不提供語法檢查或對修改的反饋。 如果你決定使用離線配置,確保使用安全的配置傳輸協議。簡單文件傳輸協議(TFTP)並不是一個推薦的配置傳輸方法。只要你想配置用戶名或口令,文件傳輸協議(FTP)或者安全復制協議(secure protocol)是傳輸新配置數據的最安全方法。 注意:配置的數據有可能泄漏並有可能進入到他人之手。為防止這樣的事件發生,千萬不要將路由器的配置信息存儲到可移動媒體上。要將其存儲在一個驅動器的安全文件夾中,此文件夾的安全性用恰當的訪問許可權來保障。
8. 怎麼設置路由器安全
如何設置能夠使得路由器更加安全呢?以下是我收集的相關信息,僅供大家閱讀參考!
1. 為路由器間的協議交換增加認證功能,提高網路安全性。
路由器的一個重要功能是路由的管理和維護,目前具有一定規模的網路都採用動態的路由協議,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。當一台設置了相同路由協議和相同區域標示符的路由器加入網路後,會絡上的路由信息表。但此種方法可能導致網路拓撲信息泄漏,也可能由於向網路發送自己的路由信息表,擾亂網路上正常工作的路由信息表,嚴重時可以使整個網路癱瘓。這個問題的解決辦法是對網路內的路由器之間相互交流的路由信息進行認證。當路由器配置了認證方式,就會鑒別路由信息的收發方。
2. 路由器的物理安全防範。
路由器控制埠是具有特殊許可權的埠,如果攻擊者物理接觸路由器後,斷電重啟,實施「密碼修復流程」,進而登錄路由器,就可以完全控制路由器。
3. 保護路由器口令。
在備份的路由器配置文件中,密碼即使是用加密的形式存放,密碼明文仍存在被破解的可能。一旦密碼泄漏,網路也就毫無安全可言。
4. 阻止察看路由器診斷信息。
關閉命令如下: no service tcp-small-servers no service udp-small-servers
5. 阻止查看到路由器當前的用戶列表。
關閉命令為:no service finger。
6. 關閉CDP服務。
在OSI二層協議即鏈路層的基礎上可發現對端路由器的部分配置信息: 設備平台、操作系統版本、埠、IP地址等重要信息。可以用命令: no cdp running或no cdp enable關閉這個服務。
7. 阻止路由器接收帶源路由標記的包,將帶有源路由選項的數據流丟棄。
「IP source-route」是一個全局配置命令,允許路由器處理帶源路由選項標記的數據流。啟用源路由選項後,源路由信息指定的`路由使數據流能夠越過默認的路由,這種包就可能繞過防火牆。關閉命令如下: no ip source-route。
8. 關閉路由器廣播包的轉發。
Sumrf D.o.S攻擊以有廣播轉發配置的路由器作為反射板,佔用網路資源,甚至造成網路的癱瘓。應在每個埠應用「no ip directed-broadcast」關閉路由器廣播包。
9. 管理HTTP服務。
HTTP服務提供Web管理介面。「no ip http server」可以停止HTTP服務。如果必須使用HTTP,一定要使用訪問列表「ip http access-class」命令,嚴格過濾允許的IP地址,同時用「ip http authentication 」命令設定授許可權制。
10. 抵禦spoofing(欺騙) 類攻擊。
使用訪問控制列表,過濾掉所有目標地址為網路廣播地址和宣稱來自內部網路,實際卻來自外部的包。 在路由器埠配置: ip access-group list in number 訪問控制列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令將過濾BOOTP/DHCP 應用中的部分數據包,在類似環境中使用時要有充分的認識。
11. 防止包嗅探。
黑客經常將嗅探軟體安裝在已經侵入的網路上的計算機內,監視網路數據流,從而盜竊密碼,包括SNMP 通信密碼,也包括路由器的登錄和特權密碼,這樣網路管理員難以保證網路的安全性。在不可信任的網路上不要用非加密協議登錄路由器。如果路由器支持加密協議,請使用SSH 或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
12.校驗數據流路徑的合法性。
使用RPF (reverse path forwarding)反相路徑轉發,由於攻擊者地址是違法的,所以攻擊包被丟棄,從而達到抵禦spoofing 攻擊的目的。RPF反相路徑轉發的配置命令為: ip verify unicast rpf。 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速轉發。
13. 防止SYN 攻擊。
目前,一些路由器的軟體平台可以開啟TCP 攔截功能,防止SYN 攻擊,工作模式分攔截和監視兩種,默認情況是攔截模式。(攔截模式: 路由器響應到達的SYN請求,並且代替伺服器發送一個SYN-ACK報文,然後等待客戶機ACK。如果收到ACK,再將原來的SYN報文發送到伺服器; 監視模式:路由器允許SYN請求直接到達伺服器,如果這個會話在30秒內沒有建立起來,路由器就會發送一個RST,以清除這個連接。) 首先,配置訪問列表,以備開啟需要保護的IP地址: access list [1-199] [deny permit] tcp any destination destination-wildcard 然後,開啟TCP攔截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
14. 使用安全的SNMP管理方案。
SNMP廣泛應用在路由器的監控、配置方面。SNMP Version 1在穿越公網的管理應用方面,安全性低,不適合使用。利用訪問列表僅僅允許來自特定工作站的SNMP訪問通過這一功能可以來提升SNMP服務的安全性能。配置命令: snmp-server community xxxxx RW xx ;xx是訪問控制列表號 SNMP Version 2使用MD5數字身份鑒別方式。不同的路由器設備配置不同的數字簽名密碼,這是提高整體安全性能的有效手段。
綜述:
路由器作為整個網路的關鍵性設備,安全問題是需要我們特別重視。當然,如果僅僅是靠上面的這些設置方法,來保護我們的網路是遠遠不夠的,還需要配合其他的設備來一起做好安全防範措施,將我們的網路打造成為一個安全穩定的信息交流平台。