图24-9 MAC地址控制设置 |
如果客户端1尝试使用192.168.123.100之外的IP地址,它将被拒绝接入路由器。同样,如果网卡MAC地址不在MAC地址列表中的时候,这些客户端计算机都会被拒绝接入路由器。
(6)确定数据包过滤的需求。确定数据包过滤实际上就是封锁端口,而合适的封闭端口对于提升局域网的安全有着极大的作用。对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必须要封锁。例如,用于Web通信的端口80和用于SMTP的110/25端口之外,所有其他的端口和地址都可以关闭。
大多数路由器都通过使用“按拒绝请求实施过滤”的方案来增强整个局域网的安全性,当使用这种过滤方法时,可以封锁局域网没有使用的端口、特洛伊木马或者侦查活动常用的端口来增强网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对网络实施穷举攻击;封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击网络。
如图24-10所示,在路由器管理窗口中依次单击“安全设置→报文过滤”链接,并且选中“拒绝所有数据包通过,匹配以下条件的数据包除外”选项,接着分别设置80、110和25这3个常用端口,这样除非进行浏览网页或者收发电子邮件的操作,其余的网络操作都将会给路由器自动过滤,从而大大提升了内部网络计算机的安全。
图24-10 数据包过滤 |