安全路由器与防火墙的区别
目前市面上的路由器基本都带有简单的防火墙功能,不论是消费级还是企业级,可以实现一些诸如包过滤,IP过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存
在价值。那么我们就来详细的比较一下这两设备有什么差别。
一、背景
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理,路由器所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
二、目的
路由器的根本目的是:保持网络和数据的“通”。
防火墙根本的的目的是:保证任何非允许的数据包“不通”。
三、核心技术
路由器核心的ACL列表是基于简单的包过滤,属于OSI第三层过滤。从防火墙
技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。
内网的一台服务器,通过路由器对内网提供服务,假设提供服务的端口为TCP 80。为了保证安全性,在路由器上需要配置成:只允许客户端访问服务器的TCP 80端口,其他拒绝。这样的设置存在的安全漏洞如下:1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP
的序列号,则可以彻底消除这样的漏洞。同时,有些防火墙带有一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制。
② 如何解决路由器安全问题
六招技巧提高路由器的安全性能.
1.修改默认的口令!
据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的路由器安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个ICMPecho请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。参考你的路由器安全信息文件,了解如何关闭IP直接广播。例如,Central(config)#noipsource-route这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMPping请求
ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的脚本小子(script kiddies)。请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对路由器安全水平的要求对于你的网络是合适的。对于高度路由器安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用按拒绝请求实施过滤的方案享受可以接受的路由器安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的路由器安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。
③ 无线路由器如何安全设置
方法就可以了,建议你先把进入无线路由设置的网站的密码(和用户名)先改掉
WEP加密
1、启用WEP加密。
打开路由器管理界面,“无线设置”->“基本设置”:
“安全认证类型”选择“自动选择”,因为“自动选择”就是在“开放系统”和“共享密钥”之中自动协商一种,而这两种的认证方法的安全性没有什么区别。
“密钥格式选择”选择“16进制”,还有可选的是“ASCII码”,这里的设置对安全性没有任何影响,因为设置“单独密钥”的时候需要“16进制”,所以这里推荐使用“16进制”。
“密钥选择”必须填入“密钥2”的位置,这里一定要这样设置,因为新的升级程序下,密钥1必须为空,目的是为了配合单独密钥的使用(单独密钥会在下面的MAC地址过滤中介绍),不这样设置的话可能会连接不上。密钥类型选择64/128/152位,选择了对应的位数以后“密钥类型”的长度会变更,本例中我们填入了26位参数11111111111111111111111111 。因为“密钥格式选择”为“16进制”,所以“密钥内容”可以填入字符是0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f,设置完记得保存。
如果不需要使用“单独密钥”功能,网卡只需要简单配置成加密模式,密钥格式,密钥内容要和路由器一样,密钥设置也要设置为“WEP密钥2”的位置(和路由器对应),这时候就可以连接上路由器了。
如果你比较有兴趣学习的话,还可以继续往下看
无线路由器加密有以下几种方法:
1.使用无线路由器提供的WEP,WPA等加密方式.WEP一般设置简单.
2.或者使用访问限制,同过MAC地址来限制连接,就是说在访问限制列表里输入MAC的机器,才能连接到你的无线路由器.
3.一种更简单的,就是关闭SSID广播,就是无法搜索到你AP的SSID,你只能手工的方式自己填入正确的SSID,才能连接!上述三个方法都可以,但安全性质最好的是通过MAC地址限制访问.设置都是在无线路由器完成.
下面将对这些加密方式详细介绍下:
一、先介绍下最简单的,关闭SSID广播,这样无线用户就搜索不到你的网络标识,可以起到限制其他用户的连接.具体设置:
a、路由器方设置,在关闭SSID广播时,你最好改变下SSID广播号,如果不改动的话,以前连过你网络的用户,还可以连接;
b、客户机设置:无线网络---属性----无线配置---"使用windows配置您的无线网络"--然后点"添加"--写上你设置的SSID名称.OK后,---再点属性,要确认"自动连接到非手选网络"的勾未打上,确定就可以----让你刚刚设置的SSID号排在最上方,因为SSID广播关闭后,是你的电脑无线网卡去搜寻路由器,在最上方,可以首先访问你的无线网络,且避免连接到其他的无线网络.(备注:如果这样还是上不去网的话,你可以点开无线网络的TCP/IP设置,写上内网的固定 ip,网关,DNS.一般网关,DNS都是你路由器的ip.)
二、MAC地址限制
2、单独密钥的使用。
这里的MAC地址过滤可以指定某些MAC地址可以访问本无线网络而其他的不可以,“单独密钥”功能可以为单个MAC指定一个单独的密钥,这个密钥就只有带这个MAC地址的网卡可以用,其他网卡不能用,增加了一定的安全性。
打开“无线设置”->“MAC地址过滤”,在“MAC地址过滤”页面“添加新条目”,如下界面是填入参数的界面:
“MAC地址”参数我们填入的是本例中TL-WN620G的MAC地址00-0A-EB-88-65-06 ,
“类型”可以选择“允许”/“禁止”/“64位密钥”/“128位密钥”/“152位密钥” ,本例中选择了64位密钥。“允许”和“禁止”只是简单允许或禁止某一个MAC地址的通过,这和之前的MAC地址功能是一样的,这里不作为重点。
“密钥”填入了10位AAAAAAAAAA ,这里没有“密钥格式选择”,只支持“16进制”的输入。
“状态”选择生效。
最后点击保存即可,保存后会返回上一级界面:
注意到上面的“MAC地址过滤功能”的状态是“已开启”,如果是“已关闭”,右边的按钮会变成“开启过滤”,点击这个按钮来开启这一功能。至此,无线路由器这一端配置完成!
顺便说一下怎样获取网卡MAC地址?可以参考我司网站“网络教室” 文档《路由器配置指南》相关内容,通过电脑DOS界面运行ipconfig/all这个命令会弹出如下类似信息,红线勾勒部分“Physical Address”对应的就是处于连接状态的网卡的MAC地址;
二、网卡TL-WN620G的配置
打开TL-WN620G客户端应用程序主界面——“用户文件管理”—>“修改”,会弹出用户配置文件管理对话框。首先是“常规”页填入和无线路由器端相同的SSID —— 本例为“TP-LINK”
然后点击“高级”页,红线勾勒部分注意选择认证模式,可以保持和无线路由器端相同,由于我们的路由器上选择了“自动选择”模式,所以这里无论选择什么模式都是可以连接的。
如果这个选项是灰色,就请先配置“安全”页面的参数,回过头再来这里配置;
接下来我们进入“安全”页
先选择“预共享密钥(静态WEP)”,然后点击“配置…..”按钮,进入设置共享密钥的界面:
上面用红线勾勒的参数说明一下:
1)、“密钥格式”必须选择“十六进制(0-9,A-F);
2)、总共需要填入两个密钥,密钥1对应的是路由器 “无线配置”->“MAC地址过滤”页面下设置的单独密钥,本例为64位长度的密钥AAAAAAAAAA ;密钥2对应的是路由器“无线配置”->“基本设置”页面下设置的公共密钥,本例为128位长度的密钥:11111111111111111111111111 。
3)、最后要选中“WEP密钥1”。(注意“WEP密钥1”后面的圆点)
4)、单独密钥和公共密钥的位置是不能更改的。
配置完成,连续点击两次“取定”回到客户端应用程序主界面,我们可以看到网卡和无线路由器已经建立了连接,如下图所示:
这时候我们进入路由器“无线设置”-“主机状态”,可以看到已连接的网卡MAC地址;在“主机状态”页面,表里第一个显示的是无线路由器的MAC地址;
④ 路由器网络安全
你们一起连到路由器的LAN口上,其实就是连到了同一个交换机上
因为你们在一个子网内,如果他中毒,很可能会影响到你,同理你也会影响到他
这个和路由器没有关系
⑤ 无线路由器连接时的网络安全密钥是什么啊
无线安全密钥,就是你登录无线时候的密码,
你指的密钥是无线网络安全的一种加密方式的密钥,
一般家里会用WEP方式居多。这是一种非对称加密模式。
开启无线路由器的无线加密选项,然后进行一番设置:
加密强度,即64bits或128bits或更高 。
接着你可以输入一串字符,然后系统会依照WEP的算法产生密钥。
这些密钥,即WEP KEY的特征很明显:
登陆WLAN时输入上述的密钥即可
⑥ 路由器能做到网络安全防护么
有防火墙过滤功能的路由器,都有网络防护作用啦。通过安全设置,就具有基本的网络安全防护功能了。
⑦ 无线路由器网络安全密钥是什么意思
你好!
简单的说就是路由器连接需要的密码,有密码才可以连接上wifi免费上网。
平时一般都是要设置密码的,不设置密码路由器就很容易被攻击盗用。
所以还是要注意安全防范的,密码什么的最好还是设置难一些的。
如果不会设置路由器可以使用最简单的方法,就是使用反蹭网的随身wifi。
我在家里也是用的这个办法,我用的腾讯全民wifi推荐你可以试试这个。
不用设置wifi,这个直接就是自动安装的,但是电脑必须保持联网和不关机就可以用的
关机就没有wifi使用,开机才可以重新使用的,信号和兼容信号还可以。
手机连接这个wifi的发式也很独特,直接扫一下二维码就可以搞定了。
路由器出问题或者不能用了,可以试试这个东西帮你发送wifi热点的。
希望我的回答对你有作用
望采纳
谢谢
⑧ 路由器会影响网络安全吗
首先,你要搞清楚你所处的网络环境,是家庭的ADSL,还是办公室!
第二,上网提示你的密码过于简单,是什么提示的密码过于简单,是你所登录的帐号密码过于简单的话,那就和路由没关系了。
第三,有路由别人攻击你就容易些,这个不是绝对的,除非别人和你是在一个网络区域,用的和你是一个路由,那样的话属于内部攻击,当然容易些了。
第四,网络安全,不是通过一个360就可以解决的。
建议,加强密码复杂度,大小写+数字+字符,不要让密码长度小于12位;如果可以使用密码的,就尽量使用密码;常规手段,经常杀毒,查毒,清楚不必要的插件和关闭不需要的服务。
⑨ 无线路由器连接时的网络安全密钥是什么啊输什么
第一步:如果线都已经接好,这个时候随便打开一台连好的PC电脑,打开网上邻居属性。
第二步:然后打开本地连接属性。
第三步:然后打开tcp/ip协议属性。
第四步:设置ip为192.168.1.2子网:255.255.255.0网关:192.168.1.1。确定,DNS在配置路由器完后在行设置。注:如果是98和me系统,请到控制面板网络连接去设置,这里xp为例。
第五步:这里提醒一下大家,ip设置网段可以设置在192.168.1.2-192.168.1.254之间都可以,不要将同一IP设置为多台电脑,这样就会引起IP冲突了。当设置到这里,就可以打开桌面的InternetExplorer,输入192.168.1.1回车。
第六步:这里提示输入用户名和密码,默认的用户名和密码都是admin,在路由器说明书上也有写着。输入后按回车,即可进入路由器配置界面。注:tplink的路由器默认IP基本都是192.168.1.1,密码基本都是admin,首次进入路由器界面。
第七步:这里选择设置向导。
第八步:下一步。
第九步:这里选择adsl虚拟拨号,大多都是选择它的,其他的静态那是专线用户选择的,宽带用户、铁通、网通等虚拟拨号用户,选择它就行了,然后下一步。
第十步:在点下一步,按完成即可设置好路由。
第十一步:在设置在点网络参数,WAN口设置,设置好保存。
第十二步:到了这里路由器里的配置一切都设置好了,现在只有重起路由器就OK了。点系统工具,重起路由器,几秒钟后就好了。
第十三步:这个时候关掉配置的网页窗口,接上其他的电脑就可以上网了。