之前在《路由器多WAN口方式解决访问不同专线接入的服务器》中介绍了通过对路由器做一些设置,来基本解决内部业务计算机同时访问两个或多个不同外网的业务服务器的业务需求,但安全方面对于企业同样重要,因此还至少需要在路由器中做些如修改路由器初始密码、启用IDS防攻击、加入一些防火墙策略等基本配置,从而在一定程度上提高企业网络安全防护能力。
本次依旧采用比较常用的H3C ER系列路由器的图形操作界面作为示例进行演示,如何进行管理界面请参照《路由器多WAN口方式解决访问不同专线接入的服务器》中的演示。
一、修改路由器密码
如果是新路由器,记得及时修改默认密码,另外密码最好是大小写字母、数字和特殊符号的组合,不容易让人猜测出来。通过点击管理界面中的设备管理→用户管理→密码管理进行修改,密码修改界面如图1。
![21435e12b01a54d0e22d1d03b36f04a1.png](https://i-blog.csdnimg.cn/blog_migrate/d4741028fcf45c2863820025eca9bf4d.jpeg)
图1 密码修改
二、限制登录计算机
限制哪些计算机可以对路由器进行配置管理,可以点击管理界面中的设备管理→用户管理→密码管理界面,设置局域网内允许管理路由器的用户 IP 地址范围来实现,具体是在“LAN 内管理 PC 的 IP 范围”文本框中输入允许管理路由器的局域网内部 IP 地址范围;同时可以在“超时时间”文本框中输入时间参数,设置 Web 用户超时时间,这样可以在管理员打开路由器管理界面后暂时离开或忘记关闭时,一旦超时就会自动退出管理界面,预防未经允许的其他人趁管理员不在进行操作);还可以 开启 登录页面验证码功能,选择功能状态为“启用”)。操作如图2所示,均需要单击“应用”按钮生效。
![19abb258c7645085860be5d2bc754908.png](https://i-blog.csdnimg.cn/blog_migrate/72423c57d1b416ccce981d3af9ff4eb3.jpeg)
图2 登录管理
三、防网络攻击设置
H3C ER系列路由器具备一些防网络攻击功能,我们可以进行下面一些设置来提高安全性。
(一)点击管理界面中的安全专区→防攻击→IDS防范界面,勾选“启用IDS防范功能”,选择“丢弃攻击报文,并记入日志”,然后将下面的所有攻击前面的方框都勾选,最后单击“应用”按钮生效,如图3所示。
![567d51a3ad05b7d12f29f9084f323fc4.png](https://i-blog.csdnimg.cn/blog_migrate/b92c5c4757be75bf3ee33f5785853245.jpeg)
图3 防攻击设置
(二)通过绑定ARP和开启ARP防护功能,来防止受到ARP攻击和欺骗。点击管理界面中的安全专区→ARP安全→ARP绑定界面,H3C ER系列路由器会自动列出ARP表项即IP地址与MAC地址的对应表项,点击表中最左侧的“铅笔”图标,再点击列表上方的“静态绑定”,会弹出确认窗口,点击“确定”按钮后,就完成了该IP地址与网卡的MAC地址对的绑定。重复该步骤将所有记录进行绑定,如图4所示。
![9a50cb0078aec8f15b1cf2c624d5ba9e.png](https://i-blog.csdnimg.cn/blog_migrate/f7df150e3712f7549a9dc2cf34aa7a38.jpeg)
然后点击管理界面中的安全专区→ARP安全→ARP防护界面,按图5所示进行勾选,单击“应用”按钮生效。
![15bf0d136a4f0c8b5435a198e8adb3b5.png](https://i-blog.csdnimg.cn/blog_migrate/23f935a226613c6d3234d34d66eb1da9.jpeg)
图5 ARP防护
(三)设置防火墙
1、首先打开防火墙功能,点击管理界面中的安全专区→防火墙→防火墙设置,勾选“启用防火墙功能”,单击“应用”按钮生效,如图6所示。
![7e93abf0e2745c75bad7a38c6190a078.png](https://i-blog.csdnimg.cn/blog_migrate/c2c8ae53d33a383d856c331ad6ad7298.jpeg)
图6 启用防火墙
2、然后点击安全专区→防火墙→入站通信策略,将“入站通信缺省策略”设置为“禁止”,单击“应用”按钮生效,如图7所示。
3、类似的操作,将“出站通信缺省策略”就默认为“允许”(如果只访问少量的外网业务,而且知道外网服务器的IP地址,也可以将“出站通信缺省策略”设置为“禁止”,然后通过新增策略来开通,这样相对更安全一点。本次介绍因为主要还是假设用户不熟悉网络专业,不清楚需要访问的外网服务器IP地址,所以设置为允许),操作与图7类似。
![4df418665f9cd1e72b0a96cea54b05c7.png](https://i-blog.csdnimg.cn/blog_migrate/1cd2c58a279463a2ab5f8d1bd6989cbb.jpeg)
图7 入站通信策略
4、接着在出站通信策略的页面中,新增少量的策略——封住几个常被网络或蠕虫病毒利用的服务端口(如135~139、445、3389),来提高安全性。下面我们来添加封堵445的策略:
(1)点击安全专区→防火墙→安全站通信策略→服务类型,然后点击新增,在新弹出的窗口中,服务类型一栏中输入“445”,协议类型缺省为“ALL”即可,目的端口范围栏因为只有一个端口所以都为“445”,如图8所示。其他端口也在服务类型窗口中依次照此添加。(路由器预置了一些服务类型,可以先查看一下,没有重复的端口再添加,以节省资源)
![d4b0ee8a302c8fb30b33fedfeaf78eab.png](https://i-blog.csdnimg.cn/blog_migrate/ba8d511e17baa4a4fb721f69f4980c61.jpeg)
图8 添加服务类型
(2)接下来就可以添加策略了,点击安全专区→防火墙→入站通信策略,在服务类型选项栏中选中“445”用以封堵外出的目的端口,其它默认即可,点击“增加”按钮,如图9。其他135~139、445服务端口也照此操作。
![e3fac82c242d823285e27aaa2c25d525.png](https://i-blog.csdnimg.cn/blog_migrate/8909b4ffb13ef3e3839c6a8a3410c280.jpeg)
图9 添加防火墙策略
(3)为谨慎起见,还可以对源455端口向外的通信方向封住,点击安全专区→防火墙→入站通信策略,在源端口范围栏中起止端口均输入“445”,其它默认,点击“增加”按钮,如图10。其他135~139、445服务端口也照此操作即可。
![997432ff9fd2b67e10bab049c9d1c1a3.png](https://i-blog.csdnimg.cn/blog_migrate/5ca31fa4da244b9c067d28f89299ce49.jpeg)
图10 封堵向外的源端口
到此,作为对网络专业不熟悉的用户应该可以仿照对路由器进行设置。更精细一些的设置往往需要了解网络号和子网掩码的计算才好进行。当然对于网络安全而言,只在路由器做些设置是不够的,对于安全需求很高的单位,需要从网络出口节点到终端、从技术到制度等进行全方位规划、实施,做到人、技术、制度三者相互作用,另外网络安全是一个动态过程,需要不断改进和完善。
注:路由器中如果设置的条目过多,会占用更多的路由器运行内存和存储空间,可能引起路由器性能下降,严重者可能造成路由器瘫痪。
以上文字希望能为有需求的网友有所帮助,另以上输入和描述可能有疏漏、错误,欢迎大家在下面讨论、留言指正!
将:
《windows设置双IP网关解决访问不同专线接入的服务器》
《路由器多WAN口方式解决访问不同专线接入的服务器》
附在文字最后,便于大家参考对照。