路由器防火墙应用举例—(3)域名过滤的使用
路由器防火墙应用举例—(3)域名过滤的使用
域名过滤用于限制局域网内的计算机对某些网站的访问,适用于这样的需求:在某个时间段,限制对外网某些网站的访问或限制某些需要域名解析成功后才能和外网通信的应用程序的使用。
开启域名过滤功能时,必须要开启防火墙总开关(设置过程中若有不明确处,可点击当前页面的“帮助”按钮查看帮助信息):
下面通过例子说明域名过滤的使用。
预期目的:任何时间都禁止访问网站https://www.360docs.net/doc/a46110687.html,、只在上午8点到下午4点禁止访问域名中带有字符串“.cn”的网站,其余时间允许访问。设置方法如下:
1.添加IP地址过滤新条目:
任何时间都禁止访问网站https://www.360docs.net/doc/a46110687.html,
上午8点到下午4点禁止访问域名中带有字符串“.cn”的网站
2.保存后生成如下条目,即能达到预期目的:
注:
1.域名过滤状态栏显示“失效”以及“生效”,只有状态条目为“生效”时,相应的过滤条目才生效
2.在路由器上设置好过滤规则后,在电脑上需要删除浏览器的临时文件:打开IE浏览器->点击“选项”->选择“Internet选项”->在“常规”选项卡中点击“删除文件”。
域名过滤不生效的可能原因:
1.检查路由器防火墙总开关以及域名过滤是否开启,域名过滤中所设置条目是否生效
2.所要过滤的域名是否为所访问域名的子集:如域名过滤设置过滤“https://www.360docs.net/doc/a46110687.html,”,那么诸如“https://www.360docs.net/doc/a46110687.html,”、“https://www.360docs.net/doc/a46110687.html,”是无法访问的,但若设置为过滤“https://www.360docs.net/doc/a46110687.html,”,那么仅有“https://www.360docs.net/doc/a46110687.html,”以及“https://www.360docs.net/doc/a46110687.html,/*”无法访问,而诸如“https://www.360docs.net/doc/a46110687.html,”、“https://www.360docs.net/doc/a46110687.html,”是可以正常访问的。
3.本地DNS缓存原因,使用URL访问网络过程:
1)在浏览器中输入域名之后,系统将该域名提交给DNS服务器解析,然后使用解析得到的IP地址访问目的站点
2)若本地DNS缓存中已存在该域名解析得到的IP,则无需再次交由DNS服务器解析,本机直接使用缓存中已解析到的IP访问目的站点
所以即使上述1、2步骤设置无误,但因本地DNS缓存原因,仍然可以正常访问已经过滤的站点,此种情况清空本地DNS缓存即可
方法:修复本地连接或者在命令提示符中使用“ipconfig /flushdns”命令清空
(完整版)防火墙和路由器的区别
防火墙和路由器的区别 目前市面上的路由器基本都带有简单的防火墙功能,不论是消费级还是企业级,可以实现一些诸如包过滤,IP过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。 一、背景 路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理,路由器所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。 防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。 二、目的 路由器的根本目的是:保持网络和数据的“通”。 防火墙根本的的目的是:保证任何非允许的数据包“不通”。 三、核心技术 路由器核心的ACL列表是基于简单的包过滤,属于OSI第三层过滤。从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。 内网的一台服务器,通过路由器对内网提供服务,假设提供服务的端口为TCP 80。为了保证安全性,在路由器上需要配置成:只允许客户端访问服务器的TCP 80端口,其他拒绝。这样的设置存在的安全漏洞如下: 1、IP地址欺骗(使连接非正常复位) 2、TCP欺骗(会话重放和劫持) 存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的漏洞。同时,有些防火墙带有一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。 3.安全策略
NETGEAR路由器设置以及快速安装
NETGEAR路由器设置以及快速安装指南 第一章将MR814接入网络产品图示 MR814 11M无线宽带路由器 与Cable/DSL连接图示 与Cable/DSL连接图示
TOP 第二章进入 MR814 的配置界面 在完成了MR814与电脑的连接后,开始进行MR814的配置,首先要通过与MR814连接的电脑进入MR814。下面首先配置与MR814连接的电脑,使其与MR814相连的网卡配置为自动获取IP地址。以下以windows XP操作系统为例来说明电脑的配置过程: A.单击“网络邻居”按右键,在弹出的菜单中选“属性”,单击“本地连接”按右键,在弹出的菜单中选“属性”,然后在“此连接使用下列项目”中选中“Internet协议 (TCP/IP)”,最后点击“属性”。如图:
图2-1连接属性 B.在新弹出的框图中将电脑的IP地址设为“自动获得IP地址”,然后“确定”,如下图:
图2-2自动获得IP地址 C.在Internet Explorer或者Netscape Navigator浏览器的地址栏键 入http://192.168.0.1以连接路由器(MR814出厂IP地址是192.168.0.1): 图2-3 输入MR814管理IP地址 D.出于安全需要,路由器有自己的用户名和密码。一旦连接成功会弹出如下登录提示,输入路由器用户名:admin,以及密码:password,都是小写:
图2-4 登录MR814 这里特别要说明的是,在实际操作中,往往会出现这种情况——在IE中输入了路由器的IP 并回车后没有路由器的登录提示(图2-3 登录MR814)弹出。出现这一现象极有可能是您的电脑没有获得与路由器在同一网段的IP地址。因为MR814具有给连接到它的LAN口的电脑自动分配IP的功能,前面的将您的电脑设置为自动获得IP的目的即在于让它从路由器那里得到一个与路由器同一网段的IP地址,以便电脑能访问路由器。 您可以通过以下的操作确认电脑是否获得了IP,并可了解到如果没有获得IP该如何解决这一问题。 以windows XP为例,在“开始”菜单中点击“运行”,如下图:
路由器防火墙的设置方法
路由器防火墙的设置方法 对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。 经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。 在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。 1.修改默认的口令! 据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。https://www.360docs.net/doc/a46110687.html,网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。 2.关闭IP直接广播(IP Directed Broadcast) 你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。 参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。 3.如果可能,关闭路由器的HTTP设置 正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。 虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。 4.封锁ICMP ping请求 ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。 请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。 5.关闭IP源路由 IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
TP-Link路由器外网访问配置方法
端口映射 以路由器TL-R410(TP-Link)为例,在配置路由器前先用一根网线连接路由器和局域网中的集线器或交换机,或用一根网线将路由器和计算机相连。 1.建立正确的网络配置 路由器默认的IP地址是192.168.1.1,默认子网掩码是255.255.255.0,(这些值都可以根据需要而改变),然后配置计算机的IP地址: 方法1:手动设置IP地址 设置计算机的IP地址为192.168.1.xxx(xxx范围是2~254),子网掩码为255.255.225.0,默认网关为192.168.1.1。 方法2:利用路由器内置的DHCP服务器自动设置IP地址 1)设置计算机的TCP/IP协议为“自动获取IP地址”。 2)关闭路由器和计算机电源。首先打开路由器,然后再启动计算机,这样路由器内置DHCP服务器将自动为计算机设置IP地址。 2.配置路由器 在浏览器的地址栏里输入路由器的IP地址,如:http://192.168.1.1,连接建立起来后,你会看到如图1登陆界面,(用户名和密码均为admin): 如果名称和密码真确,浏览器将显示管理员模式的画面,并会弹出一个设置向导的画面,如图2:
第一步:在网络参数中设置路由器的内网地址,如图3:
第二步:在网络参数中设置路由器的外网地址,将出现如图4界面(这里我们采用PPPoE 拨号的方式): 配置好之后在运行状态中的状态信息如图5:
3.配置DVR 将DVR的网关设为路由器的内网地址(如:192.168.1.1),IP地址设为跟网关在同一 网段(如:192.168.1.21),如图6:
4.端口映射 然后在转发规则的虚拟服务器中进行端口映射,若局域网中有两台或两台以上的设备,应改变设备的两个端口号来区分,如图7: 5.域名解析 先到花生壳网站上去申请一个域名,然后进行域名解析,如图8:
路由器和防火墙的选型
路由器和防火墙 任务描述: 了解路由器和防火墙的主要在定义、工作、功能及分类。 背景知识: 1、什么是路由器?路由器的主要工作? 路由器是互联网的主要节点设备,他可以连接不通传输速率并运行在不同环境下的局域网和广域网。 路由器的主要工作:路由器工作在OSI模型的网络层,主要功能就是为经过路由器的每个数据选择最佳的路径。不想前面所讲的网桥和交换机,路由器是依靠与协议的。典型的路由器都带有自己的处理器、内存、电源和为各种不同类型的为网络连接器而准备的输入输出插座。其最重要的功能就是实现路由选择。 2、防火墙的功能和分类? 防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低危机。由于只有经过精心选择的使用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保卫网络,这样外部的攻击者就不可能运用这些脆弱的协议来攻击内部网络。防火墙同时可以保卫网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全疑问分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 防火墙的种类防火墙技能可根据防备的形式和侧重点的不同而分为很多种类型,但总体来讲可分为二大类:分组过滤、使用代理。分组过滤(Packet filtering):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定能不能允
动态域名解析联网方案TP-Link
动态拨号联网解决方案 ——ADSL 、小区宽带王等 一、大华硬盘录像机设置: 进入大华硬盘录像机的主菜单,在系统设置菜单下的网络设置中进行如下配置,保存后,重启DVR。 IP 地址:192.168.1.108 子网掩码:255.255.255.0 默认网关:192.168.1.1 要保证TCP端口37777和HTTP端口81这两个端口在公网和局域网未被占用!(大部分地区公网上的80端口已经被占用,请选用81、82等)
二、TP-Link路由器设置: (如果现场使用的是网通线路,则TP-Link的路由器一定要是网通专用版本,且自带动态域名解析功能) 1、配置路由器的局域网端(LAN口设置): 在路由器网络参数――LAN口设置页面中,将路由器的局域网IP地址设置为192.168.1.1 ,子网掩码设置为255.255.255.0,将路由器的LAN地址作为硬盘录像机的网关,也就是说整个局域网的网关就是路由器的LAN地址,再点击保存按钮,然后进入WAN页面。
2、配置路由器的广域网端(WAN口设置): 在路由器网络参数――WAN口设置页面中,将路由器的WAN端口连接类型选择为PPPoE,再输入上网和上网口令,如果是网通用户,请将拨号模式选择为:特殊拨号模式,然后将连接模式选择为:自动连接,在开机和断线后自动连接,以保证在断线的情况下能够自动拨号上网,然后点击保存按钮,然后进入转发规则页面。
3、配置路由器的虚拟服务器: 在路由器的转发规则――虚拟服务器界面中,点击添加新条目按钮进入添加虚拟服务器页面,在服务端口号输入:37777,对应的IP地址为192.168.1.108,协议选择:ALL,状态选择:生效,点击保存按钮。
[史上完整]H3C路由器NAT典型配置案例解析
H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 1.11 NAT典型配置举例 1.11.1 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
DVR远程监控设置方案普通路由器
DVR远程监控设置方案普通路由器
硬盘录像机动态拨号联网解决方案 ―――ADSL, 小区宽带 随着宽带网络的发展, 数字硬盘录像机的联网, 以及图像的远程传输越来越受到重视, 针对数字硬盘录像机的现状, 以及一些相关的网路产品与技术, 现在介绍硬盘录像机的广域网联网解决方案! 注: 相关的网络产品及软件很多, 本方案中以D-Link网关 ( 具有路由功能的HUB, 常称为路由器) 为例, 型号为DI- 704P( B版) 、 DI-604( B版、 D版) ; 动态域名解析以花生 壳.net为例。 TPLink路由器也和花生壳https://www.360docs.net/doc/a46110687.html,等动态域名服务商绑定, 方法类似 §系统框图 硬盘录像机和广域网之间用路由器相连。
路由器具有自动拨号功能, 动态域名解析功能, 端口映射功能。 如果采用静态ip地址, 连接单一的硬盘录像机, 那么不需要用路由器, 直接经过网线连接到广域网就能够了。 如果采用静态ip地址, 连接多台硬盘录像机, 那么需要分配端口, 需要用到路由器的端口映射功能。 如果采用ADSL等拨号的动态ip形式的, 那么需要用到路由器的动态域名解析功能, 并需要申请域名( 域名有免费和负费的域名) 。 下面重点讲解ADSL动态IP形式的联网设置。 §D-Link路由器设置 注: 路由器的每一步设置, 必须点击”执行”, 然后重新激活路由器才能生效。 进入路由器配置界面, 在界面首页中设置广域网( WAN) 端, 和局域网端( LAN) 。 在WAN端, 选择PPP over Ethernet( DSL用户) , 输入用户名和密码, 以及DNS服务器( 如图所示, 红色的项目必须填写, 下同) 。如果是静态ip地址那就选择固定ip地址就能够了!
桥接模式与路由模式区别
桥接模式与路由模式区别 早期国内的ADSL线路接入都是桥接方式,由ADSL MODEM和电脑配合,在电脑上分配固定IP地址,开机就能接入局端设备进入互联网。但是这样在用户不开机上网时,IP是不会被利用,会造成目前日益缺少的公网IP资源的浪费,因此出现了PPPoE拨号的ADSL接入。 PPPoE拨号可以使用户开机时拨号接入局端设备,由局端设备分配给一个动态公网IP,这样公网IP紧张的局面就得到了缓解。目前国内的ADSL上网方式中,基本上是PPPoE拨号的方式。PPPoE 拨号出现以后,ADSL的接入设备——ADSL MODEM(ADSL调制解调器)就有一个新的兄弟产品,叫做ADSL ROUTER(ADSL路由器)。这种设备具有ADSL MODEM的最基本的桥接功能,所以个别产品也叫ADSL BRIDGE/ROUTER(ADSL桥接路由器),俗称为“带路由的ADSL MODEM”。 ADSL ROUTER 具有自带的PPPoE拨号软件,并能提供DHCP服务,RIP-1路由等功能,因此它被移植了少量的路由器的功能。但是,并不是说PPPoE拨号就没有桥接,常见的这类组网有如:ADSL MODEM + PPPoE拨号软件(如EnterNet 300)。 有个别地方的电信营运商仍主推一般的ADSL MODEM,这样就没有路由功能,实际上就是不鼓励用户“一线多机”。 但是,现在的ADSL接入设备生产商竞争实在激烈,所以ADSL MODEM已基本停产,而转生产ADSL ROUTER,这就是现在所称的大多数的ADSL MODEM都“带路由”的原因,也就是ADSL 接入设备基本是ADSL ROUTER。 由于组网方案的不同,ADSL ROUTER就有了桥接模式和路由模式的工作模式。 若是有少量客户机的家庭用户或SOHO用户,就可以直接用PPPOE ROUTED——路由模式,由ADSL ROUTER来进行PPPoE拨号并进行路由。也可以用RFC 1483 BRIDGED,然后接入PC,在PC上运行PPPOE拨号软件进行拨号,或接入宽带路由器,由宽带路由器的内置PPPOE拨号工具进行拨号。 若是在多用户环境,客户机的数量较多时,如:网吧、企业、社区,往往是ADSL ROUTER 加宽带路由器的组网形式,这时多数会让ADSL ROUTER工作在桥接模式下,由宽带路由器来进行拨号功能,并承担路由的工作,这是因为ADSL ROUTER的路由能力较低,在处理大数量客户机的路由请求时会出现性能下降或产生死机故障。 所以说,桥接模式和路由模式其实是针对于ADSL ROUTER来说的。 什么是桥接模式 ADSL ROUTER桥接模式有个正式专业的名称叫做RFC1483 桥接。RFC1483标准是为了实现在网络层上多协议数据包在ATM网络上封装传送而制定的,现已被广泛用于ATM技术中,成为在ATM网络上处理多协议数据包的封装标准。
路由防火墙
路由器防火墙功能应用实例 企业用户使用路由器共享上网,常常需要对内网计算机的上网权限进行限制,如限制某些计算机不能上网,限制某些计算机可以收发邮件但是不可以浏览网页,限制计算机不能访问某个站点,而一些计算机有高级权限,不受任何限制。路由器具有防火墙功能,功能可以灵活组合成一系列控制规则,形成完整的控制策略,有效管理员工上网,能方便您对局域网中的计算机进行进一步管理。“数据包过滤”功能可以控制局域网中计算机对互联网上某些网站的访问;“MAC地址过滤”是通过MAC地址过滤来控制局域网中计算机对Internet的访问;“域名过滤”可以限制局域网中的计算机对某些网站的访问。 下面以TL-R490路由器为例,说明设置的方法。局域网内有8台计算机,计算机1(IP:192.168.1.2)不能上网,计算机2(IP:192.168.1.3)可以收发邮件但是不可以浏览网页,计算机3(IP:192.168.1.4)不能访问这个站点(219.134.132.61),计算机4(IP:192.168.1.5)不可以收发邮件但是可以浏览网页,其他计算机不受任何限制。以下是通过数据包过滤的方式对访问互联网的权限进行设置,因为对于其他的计算机是不做任何限制,所以把缺省过滤规则设置为允许通过;如果不允许其他计算机上网,那么应该把缺省过滤规则设为禁止通过(当然你的IP过滤条目的操作方法应该是允许通过的):
上面的第一条条目的是让计算机都能够通过DNS服务器解释到某个域名的IP地址,这样电脑才能够正常连接,当然本例不添加也行,因为默认规则是允许通过。在缺省过滤规则是禁止通过的情形下这个条目是一定要添加上去。 对于限制某些计算机不能上网的情况,除了上面介绍的“数据包过滤”设置外,还可以通过“MAC地址过滤”方式实现。 FTP端口服务对应表: --21 , HTTP(浏览网页)---80,SMTP(发送邮件)---25,POP(接收邮件)----110,DNS(域名服务)--------53。 其他配置 1)安全设置 当可以正常上网了,可能出于不同的原因,您想要对内部局域网的电脑上网操作,开放不同的权限,比如只允许登录某些网站、只能收发E-mail、一部分有限制、一部分不限制;用户在这方面需求差异较大,有些通过路由器可以实现,有些用路由器是没办法完全实现的,比如“IP地址和网卡地址绑定”这个功能,路由器不能完全做到; 我们上网的操作,其实质是电脑不断发送请求数据包,这些请求数据包必然包含一些参数比如:源IP、目的IP、源端口、目的端口等等;路由器正是通过对这些参数的限制,来达到控制内部局域网的电脑不同上网权限的目的; 下面我们会列举具有代表性的配置举例,来说明路由器“防火墙设置”、“IP地址过滤”这些
华为路由器 配置DNS
目录 10 配置DNS................................................................................................................................10-1 10.1 DNS简介..................................................................................................................................................10-2 10.2 配置静态域名解析..................................................................................................................................10-2 10.2.1 建立配置任务.................................................................................................................................10-2 10.2.2 配置主机名和对应IP地址...........................................................................................................10-3 10.2.3 检查配置结果.................................................................................................................................10-3
无线路由器常见设置详解
无线路由器常见设置详解(必备整理) 外网无线设置 1.动态IP用户:选择此项目会自动地从您的网际网络服务提供者得到一个 IP 地址。提供 Cable modem 的 ISP 通常都使用动态 IP 地址。 2.PPPoE用户:如果您的网络服务提供商提供给您的是 PPPoE 服务(DSL业务的提供商都会提供此类连接服务,比如最为流行的ADSL宽带业务),请选择此项目。在"快捷通道"中只需要填写PPPoE帐号以及密码即可进行连接。 PPPoE 帐号:输入ISP商提供给您的 PPPoE 使用者名称。 PPPoE 密码:输入ISP商提供给您的 PPPoE 使用者密码。 3.静态IP用户:此选项提供给使用静态IP地址的客户,根据您的 ISP提供的固定 IP 地址资料来输入您的"WAN口IP 地址"、"子网掩码"、 "默认网关",和" DNS (domain name 服务器) 地址"。每一个 IP 地址必须输入在适当的 IP 字段中,分别由"." 区隔四个 IP octets 构成一个 IP (x.x.x.x),路由器只接受这个形式的 IP 格式。 主DNS:DNS地址用于对访问网站时所需要的域名进行解析,输入您最为常用的域名解析服务器地址,也可以由您的ISP推荐。 次DNS:输入主DNS外的另一个备用的DNS地址,也可以不填。 4.无线配置:此项目提供对路由器的无线功能是否使用的设置,选择启用,您的路由器将具备无线AP的功能,如果禁止,则只拥有普通有线宽带路由器的功能,默认为"启用",慎选。 网络名称(SSID):SSID 是无线网络中所有设备共享的网络名称。无线网络中所有设备的 SSID 必须相同。SSID 区分大小写,可能由任何键盘字符组成,但不得超过 32 个字母数字字符。确保无线网络中所有设备的这个设置均相同。为了提高安全性,建议您将默认的 SSID 更改为您选择的唯一名称。 无线基本设置 1.无线状态:可以被选择为"开启"或"关闭"。"关闭"则关闭无线功能。 2.SSID号:设置您的无线网络名称。 3.无线标准:共有4种无线标准可供选择,每种拥有不同的工作频段和传输速率。 4. 网络模式:无线路由器的工作模式,默认为AP模式。 AP模式:无线接入点,可以接受无线客户端(网卡)的连接并通过它访问网络。Client模式:客户端模式,可以作为网卡使用,该模式下有两种网络方式,结构化网络和对等网络。 结构化网络:路由器以终端方式连接到无线网络的其他AP。 对等网络:路由器与其他的无线终端以点对点的方式连接。 WDS模式:无线路由器工作在该模式下,可以把两个或者多个有线以太网络通过无线网络桥接在一起。但是不能再接受无线客户端(例如网卡)的连接。 AP+WDS模式:无线路由器工作在该模式下,不仅可以把两个或者多个有线以太网络通过无线网络桥接在一起。同时又可以再接受别的无线客户端(例如网卡)
配置路由器域名解析
strong>静态域名解析配置命令 4.3.1 host 配置静态域名解析。 host host-name ip-address 【参数说明】 host-name为域名,最大长度为20的字符串。 ip-address为IP地址,点分十进制格式。 【缺省情况】 系统静态域名解析表为空。 【命令模式】 全局配置模式 【使用指南】 域名解析有两种:动态域名解析和静态域名解析,所谓静态域名解析,即用户手工配置域名到IP地址的映射,动态域名解析,则通过域名解析服务器(DNS)来解析。 Quidway(R)系列路由器目前只支持静态域名解析,系统最多可以维护50条映射项。 【举例】 配置域名Quidway1到IP地址129.102.0.1的映射。 Quidway(config)#host Quidway1 129.102.0.1 【相关命令】 delete-host,show host 4.3.2 delete-host 删除静态域名解析项。 delete-host host-name 【参数说明】 host-name为域名,最大长度为20的字符串。 【缺省情况】 系统静态域名解析表缺省为空。 【命令模式】 全局配置模式 【使用指南】 域名解析有两种:动态域名解析和静态域名解析,所谓静态域名解析,即用户手工配置域名到IP地址的映射,动态域名解析,则通过域名解析服务器(DNS)来解析。 Quidway(R)系列路由器目前只支持静态域名解析,系统最多可以维护50条映射项。 【举例】
删除域名为Quidway1的静态域名解析项。 Quidway(config)#delete-host Quidway1 【相关命令】 host,show host 4.3.3 s host 显示静态域名解析表 show host 【命令模式】 特权用户模式 【使用指南】 可以根据该命令的输出信息,确认用户对静态域名解析表输出是否正确。【举例】 Quidway#show host Quidway1 129.102.0.1 【相关命令】 host,delete-host
防火墙路由模式和NAT配置
应用场景: 在网络的边界,如出口区域,在内网和外网之间增加防火墙设备,采用路由模式对局域网的整网进行保护。路由模式一般不单独使用,一般会有以下功能的配合,如在内外网之间配置灵活的安全策略,或者是进行NAT内网地址转换。 功能原理: 简介 ?路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信 优点 ?能够支持三层网络设备的多种功能,NAT、动态路由、策略路由、VRRP等 ?能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担 缺点 ?不能转发IPv6和组播包 ?部署到已实施网络中需要重新改动原有地址和路由规划 一、组网要求 1、在网络出口位置部署防火墙卡,插在核心交换机的3号槽位,通过防火墙卡区分内外网, 外网接口有两个ISP出口; 2、在防火墙上做NAT配置,内网用户上外网使用私有地址段; 二、组网拓扑 三、配置要点 要点1,配置防火墙 ?创建互联的三层接口,并指定IP地址
?配置动态路由或静态路由 ?创建作为NAT Outside的VLAN接口并指定IP ?配置NAT转换关系 ?配置NAT日志 要点2,配置交换机 ?创建连接NAT Outside线路的VLAN并指定物理接口 ?创建互联到防火墙的三层接口 ?通过互联到防火墙的三层接口配置动态路由或静态路由 四、配置步骤 注意: 步骤一、将交换机按照客户的业务需要配置完成,并将防火墙卡和交换机联通,并对防火墙卡进行初始化配置。 1)配置防火墙模块与PC的连通性: 配置防火墙卡和交换机互联端口,可以用于防火墙的管理。 Firewall>enable ------>进入特权模式 Firewall#configure terminal ------>进入全局配置模式 Firewall(config)#interface vlan 4000 ------>进入vlan 4000接口 FW1(config-if-Vlan 4000)#ip address 10.0.0.1 255.255.255.252------>为vlan 4000接口上互联IP地址 Firewall(config-if)#exit ------>退回到全局配置模式 Firewall(config)#firewall default-policy-permit ------>10.3(4b5)系列版本的命令ip session acl-filter-default-permit ,10.3(4b6)命令变更为 firewall default-policy-permit 防火墙接口下没有应用ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包,配置以下命令可修改为默认转发所有包 2)防火墙配置路由模式,交换机与防火墙联通配置。 交换机与防火墙卡是通过设备内部的两个万兆口互联,在插入防火墙模块后,交换机在FW所在槽位生成两个万兆端口,以下以防火墙卡接在核心交换机6槽。 在交换机上配置将交换机与防火墙互联的接口进行聚合,并设置为trunk模式,设定允许VLAN。以6槽位的一个防火墙卡为例: Ruijie>enable ------>进入特权模式 Ruijie#configure terminal ------>进入全局配置模式 Ruijie(config)#vlan 4094 ------>配置一个冗余的VLAN Ruijie(config)#interface range tenGigabitEthernet 6/1,6/2 ------>配置交换机于防火墙互联的万兆6/1,6/2端口 Ruijie(config-if-range)#port-group 2 ------>配置互联端口为聚合口,
2.实验二、路由器的日常维护与管理(详解版)
实验二、路由器的日常维护与管理 1、实验目的 通过本实验可以: 1)掌握路由接口IP地址的配置及接口的激活 2)掌握telnet的使用及配置 3)熟悉CDP的使用及配置 4)了解基本的debug调试命令 5)理解并实现设备之间的桥接 6)绘制基本的网络拓扑图 7)掌握数据通信的可达性测试 8)掌握路由器的密码恢复步骤 9)熟悉TFTP服务器的使用 10)掌握路由器配置文件的备份与恢复 11)掌握路由器IOS文件的备份、升级和恢复 2、拓扑结构 路由器的日常维护与管理拓扑 3、实验需求 1)设置主机名,并关闭域名解析、关闭同步、关闭控制台超时 2)使用相关命令查看当前配置信息,并保存当前的配置文件 3)桥接PC到机架路由器,配置路由器接口的IP地址,开启接口并测试路由器与 本机的连通性,开启debug观察现象 4)使用TFTP传送文件,分别实现拷贝路由器的配置文件到TFTP服务器和从TFTP
服务器导入配置文件到路由器 a)将当前配置文件保存到本机,并在本机打开并修改所保存的配置文件 b)将当前配置文件保存到同学电脑 c)将保存在本机的配置文件导入所使用的设备 d)将同学保存的配置文件导入所使用的设备 e)注意观察导入配置文件时设备提示信息的变化 5)使用TFTP备份路由器的IOS文件 6)IOS文件的升级和灾难恢复 7)路由器的密码恢复 8)使用CDP发现邻居设备,实现telnet远程登入到邻居设备 9)用主机名绑定IP,实现telnet主机名与telnet IP一致的效果 10)实现GNS3模拟器与本机之间的桥接,并将模拟器的配置文件保存到本机4、参考配置 1.配置基本命令 设置主机名、关闭域名解析、同步、控制台超时 Router>enable Router#config terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname r14//命名主机 r14(config)#no ip domain-lookup//关闭域名解析 r14(config)#line console 0 r14(config-line)#logging synchronous //关闭日志同步 r14(config-line)#exec-timeout 0 0//关闭控制台超时 r14(config-line)#end r14# 2.查看当前配置信息,并保存当前的配置文件 r14#show running-config //查看当前运行的配置文件 Building configuration... Current configuration : 420 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname r14 ! ! ip subnet-zero ! ! no ip domain-lookup !
路由器IPv6、IPv4防火墙差别
路由器IPv6、IPv4防火墙差别 防火墙对于一个网格的作用就不用多说了,网络的第一道防线就是防火墙,它用于防御公共互联网攻击,限制本地用户的公共互联网访问,随着IPv6的出现,对防火墙有了新的要求,虽然IPv6和IPv4 各自提供的服务非常相似,但是这两种协议之间存在一些细微差别,这对防火墙设备和操作会影响很大。 一、IPv6的一个主要变化是采用固定长度的协议头,而不像IPv4那样采用可变长度协议头。任何必要的选择都必须加到后续的扩展头中,扩展头位于固定的IPv6头和封装的IPv6上层协议之间。它会根 据处理选项的不同系统而采用不同的扩展头。例如,需要在目标主机中处理的选项会包含在一个“目标选项” 头信息中,而由路由器处理的选项则会包含在一个“跳间选项”头信息中。理论上,这至少能够让路由器和主机解析、处理归它们的选项——而IPv4则不同,处理数据包的所有节点必须解析所有的选项。 二、这个头结构决定了IPv6头信息链:多个头信息会被依次链接在一起,首先是IPv6头,最后是上层协议。每一个扩展头都包含具体的头长度和下一个头链接的头信息类型。 因此,任何IPv6流都会采用完整的IPv6头信息链,然后处理它需要的头信息,分片头是其中一种特殊类型的扩展头,它包含了实现IPv6分片所需要的机制。 与IPv4头不同,IPv6不是将所有分片相关信息保存在固定的IPv6头中,而是将这些信息保存在一个 可选的分片头中。因此,执行分片的主机只需要在IPv6头信息链中插入一个分片头信息,再添加需要分片的原始数据包。 三、任何需要获取上层信息(如TCP端口号)的系统,都需要处理整个IPv6头信息链。而且,由于当前的协议标准支持任意数量的扩展头,包括同一种扩展头的多个实例,因此它会对防火墙等设备造成多种影响,防火墙需要解析多个扩展头,才能够执行深度数据包检测(DPI),它可能会降低WAN性能,引发拒绝服务(DoS)攻击,或者防火墙被绕过。 四、由于当前的协议规范支持任意数量的扩展头,包括同一种扩展头类型的多个实例,因此防火墙必须能够细致地处理包括异常的多IPv6扩展头信息的数据包。而这可能被一些攻击者利用,他们可能故意在数据包中加入大量的扩展头,使防火墙在处理上述数据包时浪费过多资源。 最终,这可能会引起防火墙性能下降,或者造成防火墙本身出现DoS问题。此外,有一些性能不佳的 防火墙在应用过滤策略时,可能无法处理整个IPv6头信息链,从而可能让一些攻击者利用扩展头威胁相应的防火墙。 五、IPv6分片也可能被恶意利用,方法与IPv4的类似。例如,为了破坏防火墙的过滤策略,攻击者可能会发送一些重叠的分片,从而影响目标主机的分片重组过程。 在IPv6中,这个问题更为严重,因为多个IPv6扩展头和分片的组合可能产生一些错误分片,尽管它 们的数据包大小是“正常的”,但是它们丢失了一些实施过滤策略通常需要的基本信息,如TCP端口号。即, 数据包的第一个分片可能包含很多IPv6选项,以致上层协议头可能属于另一个分片,而不是第一个分片。 六、IPv6转换/共存技术还给IPv6防火墙带来另一个问题。大多数转换技术都使用某种通道机制,它 在一种网络协议(通常是IPv4)中封装另一种网络层协议(通常是IPv6)。这会对防火墙的安全性造成很多影响,防火墙可能无法识别特定的转换技术,也可能无法应用一些原生IPv6流量支持的过滤策略。例如,在 使用原生IPv4或原生IPv6时,一个网站可以阻挡通向TCP端口25的数据包,但是在部署了Teredo 等转换机制后,它可能无法阻挡这些数据包。 七、转换技术可能会加剧上述问题,因为不仅封装的流量可能使用组合的IPv6扩展头和分片,其他向外发送的数据包(通常是IPv4)也可能是分片的,因此这都会大大增加最终流量的复杂性。这种复杂性不仅会降低网络流量传输速度,更严重的是,它还可能影响防火墙的过滤策略。例如,防火墙可能无法处理整个头信息链,从而无法找到TCP分片。 为了应用IPv6数据包过滤策略,防火墙至少必须支持整个IPv6头信息链的处理,理想情况下,这些 防火墙还应该支持IPv6转换技术,这样应用于原生IPv6流量的过滤策略可以同样应用到转换流量上。 也就是说,防火墙应该有一个“默认拒绝”策略,这样防火墙就能够阻挡您不需要的流量,如转换流量。
Cisco路由器的SSH配置详解
C i s c o路由器的S S H配 置详解 The document was finally revised on 2021
Cisco路由器的SSH配置详解 2008-06-18 13:04 如果你一直利用Telnet控制网络设备,你可以考虑采用其他更安全的方式。 本文告诉你如何用SSH替换Telnet. 使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。很快地,会有人进行监听,并且他们会利用你安全意识的缺乏。 SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。 在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。 加密算法包括Blowfish,数据加密标准(DES),以及三重DES (3DES)。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。 实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机,并确定你是否加载了一个支持SSH的IPSec IOS镜像。 在我们的例子中,我们将使用Cisco IOS命令。运行下面的命令: 该命令显示已加载的IOS镜像名称。你可以用结果对比你的供应商的支持特性列表。 在你验证了你的设备支持SSH之后,请确保设备拥有一个主机名和配置正确的主机域,就像下面的一样: 在这个时候,你就可以启用路由器上的SSH服务器。要启用SSH服务器,你首先必须利用下面的命令产生一对RSA密钥:
路由器里的防火墙有什么作用
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对防火墙与业界应用最多、最具代表性的路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。 一、两种设备产生和存在的背景不同 1、两种设备产生的根源不同 路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。 防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。 2、根本目的不同 路由器的根本目的是:保持网络和数据的“通”。 防火墙根本的的目的是:保证任何非允许的数据包“不通”。 二、核心技术的不同 Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。 一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp1455)。为了保证安全性,在路由器上需要配置成:外-〉内只允许client访问server 的tcp1455端口,其他拒绝。 针对现在的配置,存在的安全脆弱性如下: 1、IP地址欺骗(使连接非正常复位) 2、TCP欺骗(会话重放和劫持) 存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则