安企神电脑监控软件 在线试用
扫码咨询客服
安企神电脑监控软件、局域网监控软件
首页
功能对比
下载中心
购买咨询
客户列表
关于安企神

路由器基本工作原理及其安全设置的方法

更新时间:2022-07-15 16:36:45


本文简介:路由器工作原理  路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平 面上,路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息,依照拓扑结构动态生成路由表。在数据通道上,转发引擎从输入线路接收IP包 后,分析与修改包头,使用转发表查找输出端口,把数据交换到输出线路上。转发表是根据路由表生成的,其表项和路由表项有直接对应关系,但

路由器基本工作原理及其安全设置的方法

 路由器工作原理

  路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平 面上,路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息,依照拓扑结构动态生成路由表。在数据通道上,转发引擎从输入线路接收IP包 后,分析与修改包头,使用转发表查找输出端口,把数据交换到输出线路上。转发表是根据路由表生成的,其表项和路由表项有直接对应关系,但转发表的格式和路 由表的格式不同,它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。

  路由协议根据网 络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域,这些管理区域称为自治域,自治域区号实行全网统一管理。这样,路由协议就有域内协议和域间 协议之分。域内路由协议,如OSPF、IS-IS,在路由器间交换管理域内代表网络拓扑结构的链路状态,根据链路状态推导出路由表。域间路由协议相邻节点 交换数据,不能使用多播方式,只能采用指定的点到点连接。

  路由器结构体系

  路由器的控制平面,运行在通用CPU系统中,多年来一直没有多少变化。在高可用性设计中,可以采用双主控进行主从式备份,来保证控制平面的可靠性。路由 器的数据通道,为适应不同的线路速度,不同的系统容量,采用了不同的实现技术。 路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言,可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现 数据转发,根据使用CPU的数目,进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发,根据使用网络处 理器的数目及网络处理器在设备中的位置,进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。
  路由器安全设置

  对于黑客来说,利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期,误导信息流量,使网络陷于瘫痪。好的路由器本身会采取 一个好的安全机制来保护自己,但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

  一、堵住安全漏洞

  限制系统物理访问是确保路由器安全的较有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调 制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是较新的。漏洞常常是在供应商发行补丁之前被披 露,这就使得黑客抢在供应商发行补丁之前利用受影响的系统,这需要引起用户的关注。

  二、避免身份危机

  黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的IT员工辞职,用户应该立即 更换口令。用户应该启用路由器上的口令加密功能,这样即使黑客能够浏览系统的配置文件,他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输 证书。在大多数路由器上,用户可以配置一些协议,如远程验证拨入用户服务,这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制 可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证,以此加强验证系统。双因素的前者是软件或硬件的令牌 生成部分,后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳(SSH)或IPSec内传送安全证书。

  三、禁用不必要服务

  拥有众多路由服务是件好事,但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是,禁用路由器上的CDP可能会影响路由器的性能。另一 个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步。用户可以利 用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步。不过,确保网络设备时钟同步的较佳方式不是通过路由器,而是在防 火墙保护的非军事区(DMZ)的网络区段放一台NTP服务器,将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上,用户很少需要运行 其他服务,如SNMP和DHCP。只有绝对必要的时候才使用这些服务。

  四、限制逻辑访问

  限制逻辑访问 主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法,但如果无法避免Telnet,不妨使 用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。

  控制消息协议(ICMP)有助于排除故障,但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止黑客 搜集上述信息,只允许以下类型的ICMP流量进入用户网络:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间 (TTL)的。此外,逻辑访问控制还应禁止ICMP流量以外的所有流量。

  使用入站访问控制将特定服务引导至对应的服务器。例 如,只允许SMTP流量进入邮件服务器;DNS流量进入DSN服务器;通过安全套接协议层(SSL)的HTTP(HTTP/S)流量进入Web服务器。为 了避免路由器成为DoS攻击目标,用户应该拒绝以下流量进入:没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然 用户无法杜绝DoS攻击,但用户可以限制DoS的危害。用户可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN攻击。

  用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量,只允许有效的源地址包离开网络。这有助于防止IP地址欺骗,减小黑客利用用户系统攻击另一站点的可能性。

  五、监控配置更改

  用户在对路由器配置进行改动之后,需要对其进行监控。如果用户使用SNMP,那么一定要选择功能强大的共用字符串,较好是使用提供消息加密功能的 SNMP。如果不通过SNMP管理对设备进行远程配置,用户较好将SNMP设备配置成只读。拒绝对这些设备进行写访问,用户就能防止黑客改动或关闭接口。 此外,用户还需将系统日志消息从路由器发送至指定服务器。

  为进一步确保安全管理,用户可以使用SSH等加密机制,利用SSH与路由器建立加密的远程会话。为了加强保护,用户还应该限制SSH会话协商,只允许会话用于同用户经常使用的几个可信系统进行通信。

  配置管理的一个重要部分就是确保网络使用合理的路由协议。避免使用路由信息协议(RIP),RIP很容易被欺骗而接受不合法的路由更新。用户可以配置边 界网关协议(BGP)和开放较短路径优先协议(OSPF)等协议,以便在接受路由更新之前,通过发送口令的MD5散列,使用口令验证对方。以上措施有助于 确保系统接受的任何路由更新都是正确的。

  六、实施配置管理

  用户应该实施控制存放、检索及更新路由器配置的配置管理策略,并将配置备份文档妥善保存在安全服务器上,以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。

  用户可以通过两种方法将配置文档存放在支持命令行接口(CLI)的路由器平台上。一种方法是运行脚本,脚本能够在配置服务器到路由器之间建立SSH会 话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统;另外一种方法是在配置服务器到路由器之间建立IPSec隧道,通过该安全 隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前,制订详细的逆 序操作规程。

 

立即下载试用

防止员工工作时间打游戏的六个有效方法

防止员工工作时间打游戏的六个有效方法

随着科技的进步和互联网的普及,员工在工作时间内打游戏的问题愈发严重。这不仅影响了员工的工作效率,还可能给企业带来不必要的损失。为了维护企业的正常运营和员工的工作效率,防止员工在工作时间内打游戏显得尤为重要。

防止员工工作时间打游戏的六个有效方法

以下是六个有效的防止员工工作时间打游戏的方法。

一、明确公司政策与规定

公司应制定明确的政策与规定,明确指出员工在工作时间内不得打游戏。这一政策应在员工入职时便告知,并在公司内部的培训中加以强调。

公司还可以通过内部邮件、公告等方式定期提醒员工遵守相关规定。

防止员工工作时间打游戏的六个有效方法

二、提供适宜的工作环境

为了让员工更加专注于工作,公司应提供一个适宜的工作环境。这包括安静的工作场所、合适的办公桌椅、必要的办公设备等。

一个舒适的工作环境有助于减少员工的分心,从而降低在工作时间内打游戏的可能性。

三、合理安排工作任务

为了避免员工在工作时间内无所事事,公司应合理安排工作任务。这包括为员工分配适当的工作量、提供具有挑战性的工作任务、设定明确的工作目标等。

通过合理安排工作任务,可以激发员工的工作热情,使其更加专注于工作,减少打游戏的时间。

四、实施监督与激励机制

公司应建立有效的监督机制,定期检查员工的工作情况,确保员工在工作时间内遵守相关规定。

公司还可以设立激励机制,如设立奖励制度,对在工作中表现优秀的员工给予奖励,从而激发员工的工作积极性,减少打游戏的可能性。

防止员工工作时间打游戏的六个有效方法

方法五:使用专业的电脑监控软件(如:安企神软件)

企业应该使用专业的电脑监控软件 ,来监控员工的电脑活动,包括屏幕监控、聊天软件监控、文件使用监控、文件外发监控、软硬件变动监控、U盘使用监控等。

通过这些功能,企业可以及时发现和阻止员工上班玩游戏的行为,保护企业的数据和机密信息的安全,提高员工的工作效率和生产力。

五、加强员工教育与培训

最后,公司应加强对员工的教育与培训。通过举办相关讲座、研讨会等活动,提高员工对工作时间打游戏的认识,使其明确打游戏对工作和个人发展的负面影响。

公司还可以为员工提供技能培训,帮助员工提升工作能力,更好地应对工作中的挑战。

防止员工工作时间打游戏的六个有效方法

总之,防止员工在工作时间内打游戏是一个需要多方面努力的过程。通过明确公司政策与规定、提供适宜的工作环境、合理安排工作任务、实施监督与激励机制以及加强员工教育与培训等方法,可以有效地降低员工在工作时间内打游戏的可能性。这些方法不仅有助于维护企业的正常运营和员工的工作效率,还能促进企业的长期发展。


本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/12115.html