扫一扫
关注微信公众号

交换机和路由器安全设置(3)
2008-06-15   中国IT实验室

(5)MAC地址控制。通常交换机和路由器都提供固定IP映射和有线连接控制两种MAC地址控制方法,通过MAC地址设置可以让管理员来设置允许或拒绝用户连接到路由器或者Internet,因此可以增加内部网络计算机的安全性。如果某个用户被拒绝连接到路由器,表示该用户无法存取Internet以及某些网路资源;当某个客户端计算机可以接入路由器,表明它能够接入Internet和使用其他网络资源。

图24-9  MAC地址控制设置
       如图24-9所示,在路由器管理窗口中依次单击“安全设置→MAC地址控制”链接,此时控制列表中有2个客户端,其中客户端1的网卡MAC地址为“00-12-34-56-78-90”、IP地址为手动设置的192.168.1.100;客户端2的网卡MAC地址为“00-12-34-56-78-92”,它将从DHCP服务器中自动获得IP地址。

       如果客户端1尝试使用192.168.123.100之外的IP地址,它将被拒绝接入路由器。同样,如果网卡MAC地址不在MAC地址列表中的时候,这些客户端计算机都会被拒绝接入路由器。

       (6)确定数据包过滤的需求。确定数据包过滤实际上就是封锁端口,而合适的封闭端口对于提升局域网的安全有着极大的作用。对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必须要封锁。例如,用于Web通信的端口80和用于SMTP的110/25端口之外,所有其他的端口和地址都可以关闭。

       大多数路由器都通过使用“按拒绝请求实施过滤”的方案来增强整个局域网的安全性,当使用这种过滤方法时,可以封锁局域网没有使用的端口、特洛伊木马或者侦查活动常用的端口来增强网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对网络实施穷举攻击;封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击网络。

       如图24-10所示,在路由器管理窗口中依次单击“安全设置→报文过滤”链接,并且选中“拒绝所有数据包通过,匹配以下条件的数据包除外”选项,接着分别设置80、110和25这3个常用端口,这样除非进行浏览网页或者收发电子邮件的操作,其余的网络操作都将会给路由器自动过滤,从而大大提升了内部网络计算机的安全。
图24-10  数据包过滤

热词搜索:

上一篇:交换机和路由器安全设置(2)
下一篇:交换机和路由器安全设置(4)

分享到: 收藏