安全路由器與防火牆的區別
目前市面上的路由器基本都帶有簡單的防火牆功能,不論是消費級還是企業級,可以實現一些諸如包過濾,IP過濾這樣的功能。所以有些用戶就開始質疑硬體防火牆的存
在價值。那麼我們就來詳細的比較一下這兩設備有什麼差別。
一、背景
路由器的產生是基於對網路數據包路由而產生的。路由器需要完成的是將不同網段的數據包進行有效的路由管理,路由器所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。
防火牆是產生於人們對於安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個數據包是否應該通過、通過後是否會對網路造成危害。
二、目的
路由器的根本目的是:保持網路和數據的「通」。
防火牆根本的的目的是:保證任何非允許的數據包「不通」。
三、核心技術
路由器核心的ACL列表是基於簡單的包過濾,屬於OSI第三層過濾。從防火牆
技術實現的角度來說,防火牆是基於狀態包過濾的應用級信息流過濾。
內網的一台伺服器,通過路由器對內網提供服務,假設提供服務的埠為TCP 80。為了保證安全性,在路由器上需要配置成:只允許客戶端訪問伺服器的TCP 80埠,其他拒絕。這樣的設置存在的安全漏洞如下:1、IP地址欺騙(使連接非正常復位)
2、TCP欺騙(會話重放和劫持)
存在上述隱患的原因是,路由器不能監測TCP的狀態。如果在內網的客戶端和路由器之間放上防火牆,由於防火牆能夠檢測TCP的狀態,並且可以重新隨機生成TCP
的序列號,則可以徹底消除這樣的漏洞。同時,有些防火牆帶有一次性口令認證客戶端功能,能夠實現在對應用完全透明的情況下,實現對用戶的訪問控制。
② 如何解決路由器安全問題
六招技巧提高路由器的安全性能.
1.修改默認的口令!
據卡內基梅隆大學的CERT/CC(計算機應急反應小組/控制中心)稱,80%的路由器安全突破事件是由薄弱的口令引起的。網路上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats.com網站維護一個詳盡的可用/不可用口令列表,以及一個口令的可靠性測試。
2.關閉IP直接廣播(IP Directed Broadcast)
你的伺服器是很聽話的。讓它做什麼它就做什麼,而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中,攻擊者使用假冒的源地址向你的網路廣播地址發送一個ICMPecho請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網路性能。參考你的路由器安全信息文件,了解如何關閉IP直接廣播。例如,Central(config)#noipsource-route這個指令將關閉思科路由器的IP直接廣播地址。
3.如果可能,關閉路由器的HTTP設置
正如思科的技術說明中簡要說明的那樣,HTTP使用的身份識別協議相當於向整個網路發送一個未加密的口令。然而,遺憾的是,HTTP協議中沒有一個用於驗證口令或者一次性口令的有效規定。
雖然這種未加密的口令對於你從遠程位置(例如家裡)設置你的路由器也許是非常方便的,但是,你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器,你一定要確保使用SNMPv3以上版本的協議,因為它支持更嚴格的口令。
4.封鎖ICMPping請求
ping的主要目的是識別目前正在使用的主機。因此,ping通常用於更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力,你就更容易避開那些無人注意的掃描活動或者防禦那些尋找容易攻擊的目標的腳本小子(script kiddies)。請注意,這樣做實際上並不能保護你的網路不受攻擊,但是,這將使你不太可能成為一個攻擊目標。
5.關閉IP源路由
IP協議允許一台主機指定數據包通過你的網路的路由,而不是允許網路組件確定最佳的路徑。這個功能的合法的應用是用於診斷連接故障。但是,這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網路進行鏡像,或者用於攻擊者在你的專用網路中尋找一個後門。除非指定這項功能只能用於診斷故障,否則應該關閉這個功能。
6.確定你的數據包過濾的需求
封鎖埠有兩項理由。其中之一根據你對路由器安全水平的要求對於你的網路是合適的。對於高度路由器安全的網路來說,特別是在存儲或者保持秘密數據的時候,通常要求經過允許才可以過濾。在這種規定中,除了網路功能需要的之外,所有的埠和IP地址都必要要封鎖。例如,用於web通信的埠80和用於SMTP的110/25埠允許來自指定地址的訪問,而所有其它埠和地址都可以關閉。
大多數網路將通過使用按拒絕請求實施過濾的方案享受可以接受的路由器安全水平。當使用這種過濾政策時,可以封鎖你的網路沒有使用的埠和特洛伊木馬或者偵查活動常用的埠來增強你的網路的路由器安全性。例如,封鎖139埠和445(TCP和UDP)埠將使黑客更難對你的網路實施窮舉攻擊。
③ 無線路由器如何安全設置
方法就可以了,建議你先把進入無線路由設置的網站的密碼(和用戶名)先改掉
WEP加密
1、啟用WEP加密。
打開路由器管理界面,「無線設置」->「基本設置」:
「安全認證類型」選擇「自動選擇」,因為「自動選擇」就是在「開放系統」和「共享密鑰」之中自動協商一種,而這兩種的認證方法的安全性沒有什麼區別。
「密鑰格式選擇」選擇「16進制」,還有可選的是「ASCII碼」,這里的設置對安全性沒有任何影響,因為設置「單獨密鑰」的時候需要「16進制」,所以這里推薦使用「16進制」。
「密鑰選擇」必須填入「密鑰2」的位置,這里一定要這樣設置,因為新的升級程序下,密鑰1必須為空,目的是為了配合單獨密鑰的使用(單獨密鑰會在下面的MAC地址過濾中介紹),不這樣設置的話可能會連接不上。密鑰類型選擇64/128/152位,選擇了對應的位數以後「密鑰類型」的長度會變更,本例中我們填入了26位參數11111111111111111111111111 。因為「密鑰格式選擇」為「16進制」,所以「密鑰內容」可以填入字元是0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f,設置完記得保存。
如果不需要使用「單獨密鑰」功能,網卡只需要簡單配置成加密模式,密鑰格式,密鑰內容要和路由器一樣,密鑰設置也要設置為「WEP密鑰2」的位置(和路由器對應),這時候就可以連接上路由器了。
如果你比較有興趣學習的話,還可以繼續往下看
無線路由器加密有以下幾種方法:
1.使用無線路由器提供的WEP,WPA等加密方式.WEP一般設置簡單.
2.或者使用訪問限制,同過MAC地址來限制連接,就是說在訪問限制列表裡輸入MAC的機器,才能連接到你的無線路由器.
3.一種更簡單的,就是關閉SSID廣播,就是無法搜索到你AP的SSID,你只能手工的方式自己填入正確的SSID,才能連接!上述三個方法都可以,但安全性質最好的是通過MAC地址限制訪問.設置都是在無線路由器完成.
下面將對這些加密方式詳細介紹下:
一、先介紹下最簡單的,關閉SSID廣播,這樣無線用戶就搜索不到你的網路標識,可以起到限制其他用戶的連接.具體設置:
a、路由器方設置,在關閉SSID廣播時,你最好改變下SSID廣播號,如果不改動的話,以前連過你網路的用戶,還可以連接;
b、客戶機設置:無線網路---屬性----無線配置---"使用windows配置您的無線網路"--然後點"添加"--寫上你設置的SSID名稱.OK後,---再點屬性,要確認"自動連接到非手選網路"的勾未打上,確定就可以----讓你剛剛設置的SSID號排在最上方,因為SSID廣播關閉後,是你的電腦無線網卡去搜尋路由器,在最上方,可以首先訪問你的無線網路,且避免連接到其他的無線網路.(備注:如果這樣還是上不去網的話,你可以點開無線網路的TCP/IP設置,寫上內網的固定 ip,網關,DNS.一般網關,DNS都是你路由器的ip.)
二、MAC地址限制
2、單獨密鑰的使用。
這里的MAC地址過濾可以指定某些MAC地址可以訪問本無線網路而其他的不可以,「單獨密鑰」功能可以為單個MAC指定一個單獨的密鑰,這個密鑰就只有帶這個MAC地址的網卡可以用,其他網卡不能用,增加了一定的安全性。
打開「無線設置」->「MAC地址過濾」,在「MAC地址過濾」頁面「添加新條目」,如下界面是填入參數的界面:
「MAC地址」參數我們填入的是本例中TL-WN620G的MAC地址00-0A-EB-88-65-06 ,
「類型」可以選擇「允許」/「禁止」/「64位密鑰」/「128位密鑰」/「152位密鑰」 ,本例中選擇了64位密鑰。「允許」和「禁止」只是簡單允許或禁止某一個MAC地址的通過,這和之前的MAC地址功能是一樣的,這里不作為重點。
「密鑰」填入了10位AAAAAAAAAA ,這里沒有「密鑰格式選擇」,只支持「16進制」的輸入。
「狀態」選擇生效。
最後點擊保存即可,保存後會返回上一級界面:
注意到上面的「MAC地址過濾功能」的狀態是「已開啟」,如果是「已關閉」,右邊的按鈕會變成「開啟過濾」,點擊這個按鈕來開啟這一功能。至此,無線路由器這一端配置完成!
順便說一下怎樣獲取網卡MAC地址?可以參考我司網站「網路教室」 文檔《路由器配置指南》相關內容,通過電腦DOS界面運行ipconfig/all這個命令會彈出如下類似信息,紅線勾勒部分「Physical Address」對應的就是處於連接狀態的網卡的MAC地址;
二、網卡TL-WN620G的配置
打開TL-WN620G客戶端應用程序主界面——「用戶文件管理」—>「修改」,會彈出用戶配置文件管理對話框。首先是「常規」頁填入和無線路由器端相同的SSID —— 本例為「TP-LINK」
然後點擊「高級」頁,紅線勾勒部分注意選擇認證模式,可以保持和無線路由器端相同,由於我們的路由器上選擇了「自動選擇」模式,所以這里無論選擇什麼模式都是可以連接的。
如果這個選項是灰色,就請先配置「安全」頁面的參數,回過頭再來這里配置;
接下來我們進入「安全」頁
先選擇「預共享密鑰(靜態WEP)」,然後點擊「配置…..」按鈕,進入設置共享密鑰的界面:
上面用紅線勾勒的參數說明一下:
1)、「密鑰格式」必須選擇「十六進制(0-9,A-F);
2)、總共需要填入兩個密鑰,密鑰1對應的是路由器 「無線配置」->「MAC地址過濾」頁面下設置的單獨密鑰,本例為64位長度的密鑰AAAAAAAAAA ;密鑰2對應的是路由器「無線配置」->「基本設置」頁面下設置的公共密鑰,本例為128位長度的密鑰:11111111111111111111111111 。
3)、最後要選中「WEP密鑰1」。(注意「WEP密鑰1」後面的圓點)
4)、單獨密鑰和公共密鑰的位置是不能更改的。
配置完成,連續點擊兩次「取定」回到客戶端應用程序主界面,我們可以看到網卡和無線路由器已經建立了連接,如下圖所示:
這時候我們進入路由器「無線設置」-「主機狀態」,可以看到已連接的網卡MAC地址;在「主機狀態」頁面,表裡第一個顯示的是無線路由器的MAC地址;
④ 路由器網路安全
你們一起連到路由器的LAN口上,其實就是連到了同一個交換機上
因為你們在一個子網內,如果他中毒,很可能會影響到你,同理你也會影響到他
這個和路由器沒有關系
⑤ 無線路由器連接時的網路安全密鑰是什麼啊
無線安全密鑰,就是你登錄無線時候的密碼,
你指的密鑰是無線網路安全的一種加密方式的密鑰,
一般家裡會用WEP方式居多。這是一種非對稱加密模式。
開啟無線路由器的無線加密選項,然後進行一番設置:
加密強度,即64bits或128bits或更高 。
接著你可以輸入一串字元,然後系統會依照WEP的演算法產生密鑰。
這些密鑰,即WEP KEY的特徵很明顯:
登陸WLAN時輸入上述的密鑰即可
⑥ 路由器能做到網路安全防護么
有防火牆過濾功能的路由器,都有網路防護作用啦。通過安全設置,就具有基本的網路安全防護功能了。
⑦ 無線路由器網路安全密鑰是什麼意思
你好!
簡單的說就是路由器連接需要的密碼,有密碼才可以連接上wifi免費上網。
平時一般都是要設置密碼的,不設置密碼路由器就很容易被攻擊盜用。
所以還是要注意安全防範的,密碼什麼的最好還是設置難一些的。
如果不會設置路由器可以使用最簡單的方法,就是使用反蹭網的隨身wifi。
我在家裡也是用的這個辦法,我用的騰訊全民wifi推薦你可以試試這個。
不用設置wifi,這個直接就是自動安裝的,但是電腦必須保持聯網和不關機就可以用的
關機就沒有wifi使用,開機才可以重新使用的,信號和兼容信號還可以。
手機連接這個wifi的發式也很獨特,直接掃一下二維碼就可以搞定了。
路由器出問題或者不能用了,可以試試這個東西幫你發送wifi熱點的。
希望我的回答對你有作用
望採納
謝謝
⑧ 路由器會影響網路安全嗎
首先,你要搞清楚你所處的網路環境,是家庭的ADSL,還是辦公室!
第二,上網提示你的密碼過於簡單,是什麼提示的密碼過於簡單,是你所登錄的帳號密碼過於簡單的話,那就和路由沒關系了。
第三,有路由別人攻擊你就容易些,這個不是絕對的,除非別人和你是在一個網路區域,用的和你是一個路由,那樣的話屬於內部攻擊,當然容易些了。
第四,網路安全,不是通過一個360就可以解決的。
建議,加強密碼復雜度,大小寫+數字+字元,不要讓密碼長度小於12位;如果可以使用密碼的,就盡量使用密碼;常規手段,經常殺毒,查毒,清楚不必要的插件和關閉不需要的服務。
⑨ 無線路由器連接時的網路安全密鑰是什麼啊輸什麼
第一步:如果線都已經接好,這個時候隨便打開一台連好的PC電腦,打開網上鄰居屬性。
第二步:然後打開本地連接屬性。
第三步:然後打開tcp/ip協議屬性。
第四步:設置ip為192.168.1.2子網:255.255.255.0網關:192.168.1.1。確定,DNS在配置路由器完後在行設置。註:如果是98和me系統,請到控制面板網路連接去設置,這里xp為例。
第五步:這里提醒一下大家,ip設置網段可以設置在192.168.1.2-192.168.1.254之間都可以,不要將同一IP設置為多台電腦,這樣就會引起IP沖突了。當設置到這里,就可以打開桌面的InternetExplorer,輸入192.168.1.1回車。
第六步:這里提示輸入用戶名和密碼,默認的用戶名和密碼都是admin,在路由器說明書上也有寫著。輸入後按回車,即可進入路由器配置界面。註:tplink的路由器默認IP基本都是192.168.1.1,密碼基本都是admin,首次進入路由器界面。
第七步:這里選擇設置向導。
第八步:下一步。
第九步:這里選擇adsl虛擬撥號,大多都是選擇它的,其他的靜態那是專線用戶選擇的,寬頻用戶、鐵通、網通等虛擬撥號用戶,選擇它就行了,然後下一步。
第十步:在點下一步,按完成即可設置好路由。
第十一步:在設置在點網路參數,WAN口設置,設置好保存。
第十二步:到了這里路由器里的配置一切都設置好了,現在只有重起路由器就OK了。點系統工具,重起路由器,幾秒鍾後就好了。
第十三步:這個時候關掉配置的網頁窗口,接上其他的電腦就可以上網了。