下面小编给大家整理了设置网络策略 让访问Windows 更安全(共含7篇),供大家阅读参考。同时,但愿您也能像本文投稿人“那芫”一样,积极向本站投稿分享好文章。
在局域网环境中,许多普通工作站由于没有及时安装系统补丁程序或者没有更新病毒库,导致对应系统可能存在很多安全隐患,当这些工作站尝试访问局域网网络时,可能会给整个网络的安全带来比较大的威胁,那如何才能避免这些工作站将各种潜在的安全威胁带到服务器系统中,从而给服务器系统造成非常大的影响呢?要做到这一点,我们可以通过设置Windows Server 2008系统的网络策略,来保护服务器系统的安全,禁止危险工作站将网络病毒或木马带入到服务器系统中!
认识网络策略
为了有效保护网络以及服务器系统的安全,Windows Server 2008特意为我们新增加了网络策略服务器功能以及其他多项安全保护措施,利用网络策略功能服务器系统将会强制要求任何一台企图与之连接的普通工作站都要通过特定的网络健康检查,比方说普通工作站中是否安装了防火墙程序,是否及时更新了病毒库内容,是否安装了最新版本的系统补丁程序等,只有当普通工作站符合各种安全检查之后,服务器系统才允许该工作站连接服务器并访问其中的内容;而那些没有通过服务器系统安全检查的普通工作站将会被隔离到另外一个受限网络,或者降低服务器的访问权限。在被隔离到另外一个受限网络中时,普通工作站需要及时通过受限网络来修复该工作站的安全状态,比方说迅速从局域网中的补丁服务器中下载安装系统补丁程序,强制启用系统中的防火墙程序等,在符合网络安全条件之后,该工作站往往就能正常访问服务器系统中的任何内容了。
安装网络策略服务器
虽然Windows Server 2008系统已经内置了网络策略服务器功能,不过在默认状态下该功能并没有被启用,此时我们只有先将该功能组件安装起来,才能利用该功能的安全防范本领来保护服务器系统的安全。
在安装网络策略组件时,我们首先要以系统管理员权限进入到Windows Server 2008系统,打开该系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”命令,打开对应系统的服务器管理器窗口;
在该服务器管理器窗口的左侧显示区域,选中“角色”选项,在对应该选项的右侧显示区域中,单击“添加角色”功能图标,打开角色添加向导设置窗口;从该设置窗口的提示信息中,我们看到要安装网络策略组件需要做好三个方面的准备工作,第一就是确保管理员账号具有强密码,第二就是保证网络设置已经配制好,第三就是已经安装Windows Update中的最新安全更新;
图1
在确认上面的各项准备工作已经完成后,单击“下一步”按钮,打开如图1所示的服务器角色列表窗口中,在这里我们看到服务器系统在默认状态下并没有选中“网络策略和访问服务”功能组件,这说明网络策略功能此时并没有被安装;此时,我们可以及时选中这里的“网络策略和访问服务”选项,再单击“下一步”按钮;当屏幕上出现如图2所示的角色服务列表窗口时,选中“网络策略服务器”选项,继续单击“下一步”按钮,最后单击“安装”按钮,这样一来服务器系统就会自动将所选的角色、角色服务依次安装好了。
图2
当网络策略组件安装操作结束后,系统会自动弹出提示现在可以利用该功能组件来配置服务器系统的网络访问保护了;并且此时此刻服务器系统中的DHCP服务也会自动将被新安装的网络策略服务器组件所替代,我们必须对网络策略服务器涉及的相关DHCP参数进行正确配置,才能起到很好的网络安全保护效果。在缺省状态下,Windows Server 2008系统并没有将与网络策略服务器相关的“网络访问保护”组件启用起来,这需要我们在网络策略服务器的DHCP作用域属性中进行手工启用。
设置网络策略服务器
在成功安装好网络策略服务器功能组件后,我们现在就能进入网络策略服务器来对它正确进行配置了,以便让它及时发挥作用,保护服务器系统的安全。
首先打开Windows Server 2008系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“网络策略服务器”选项,打开网络策略服务器控制台窗口,如图3所示;
图3
在该控制台窗口的左侧显示区域,我们发现网络策略服务器包含四方面的内容,它们分别是连接请求策略、网络策略、健康策略以及网络访问保护组件,这些策略和组件将会对访问单位服务器系统的普通工作站系统进行网络隔离、安全处理、健康策略审核以及网络访问保护;
使用连接请求策略,我们能够指定是在本地处理连接请求,还是将其转发到远程Radius服务器中去处理;
选用健康策略我们可以自定义普通工作站是否健康的标准,该策略通常与网络访问保护组件一起配合使用,
一般来说,我们通常需要在服务器系统中创建好两个基本策略,其中一个策略就是安全工作站的策略,另外一个就是不安全工作站的策略。创建安全工作站的策略时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“策略”/“健康策略”选项,用鼠标右键单击“健康策略”选项,从弹出的快捷菜单中选择“新建”命令,打开如图4所示的设置对话框;在该设置对话框中将策略名称取为“安全工作站”,将“客户端SHV检查”设置为“客户端通过了所有SHV检查”,再单击“确定”按钮,这样一来安全工作站策略就创建成功了。同样地,我们可以再创建一个“不安全工作站”策略,并将该策略的“客户端SHV检查”设置为“客户端未能通过所有SHV检查”。
图4
那么究竟哪些工作站是安全的呢,又有哪些工作站是不安全的呢?这需要借助网络访问保护组件下面的系统健康验证器进行评估!而系统健康验证器将会强制检查普通工作站的一些设置,并将这些设置对照事先已经设置好的相关安全策略,来评估普通工作站究竟属于安全范围的还是不安全范围的。比方说,我们假定系统如果不安装防火墙和杀毒软件的话,那就认定该工作站系统是不安全的;在配置这种安全策略时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“网络访问保护”/“系统健康验证器”选项,在对应该选项的右侧显示区域中,用鼠标右键单击“Windows安全健康验证程序”选项,从弹出的快捷菜单中执行“属性”命令,在其后出现的属性设置窗口中单击“配置”按钮,打开如图5所示的配置界面,在该界面中必须选中“已为所有网络连接启用防火墙”选项和“防病毒应用程序已启用”选项,最后单击“确定”按钮结束Windows安全健康验证配置操作,这么一来日后只要普通工作站安装了防火墙和杀毒软件,Windows Server 2008系统就认为该工作站是安全的工作站。
图5
当Windows Server 2008系统检测到普通工作站属于不安全工作站时,网络策略服务器还提供了补救措施,以便让不安全的工作站自动访问局域网中的补丁更新服务器或病毒库更新服务器,从而及时将系统补丁程序以及更新病毒库程序安装到普通工作站中。为了让不安全工作站能够自动安装补丁程序或自动更新病毒库,我们需要使用更新服务器组来定义不安全工作站能够访问哪些系统,以便从这些系统中能够自动将工作站的不安全状态恢复到安全状态。在指定不安全工作站能够访问的服务器系统时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“网络访问保护”/“更新服务器组”选项,再用鼠标右键单击“更新服务器组”选项,从弹出的快捷菜单中执行“新建”命令,打开如图6所示的创建对话框,单击该对话框中的“添加”按钮,在其后界面中正确输入系统补丁更新服务器或病毒库更新服务器的主机名称或IP地址,这么一来日后普通工作站被检测为不安全时,那它就会自动连接到系统补丁更新服务器或病毒库更新服务器,来安装系统补丁程序或更新病毒库了。当普通工作站安装了补丁程序或更新了病毒库后,再次访问Windows Server 2008系统时,该系统就会认为它是安全工作站,此时该工作站就能允许连接到服务器系统中,那样一来我们就能最大限度地保证服务器系统的安全了。
图6
当然,需要在这里提醒各位的是,上面的系统健康验证器、健康策略、连接请求策略、更新服务器组等都需要网络策略组合在一起,才能发挥出有效的作用;我们可以根据普通工作站安全状态确定如何对该工作站进行处理;例如,当发现普通工作站与不安全工作站策略相符时,那么我们可以定义网络策略,来指示局域网中的DHCP服务器为目标普通工作站提供一个受限作用域选项的IP租约,确保该工作站地址只能访问指定更新服务器组中定义的系统。
在局域网环境中,许多普通工作站由于没有及时安装系统补丁程序或者没有更新病毒库导致对应系统可能存在很多安全隐患,当这些工作站尝试访问局域网网络时,可能会给整个网络的安全带来比较大的威胁,那如何才能避免这些工作站将各种潜在的安全威胁带到服务器系统中,从而给服务器系统造成非常大的影响呢?要做到这一点,我们可以通过设置Windows Server 2008系统的网络策略,来保护服务器系统的安全,禁止危险工作站将网络病毒或木马带入到服务器系统中!
认识网络策略
为了有效保护网络以及服务器系统的安全,Windows Server 2008特意为我们新增加了网络策略服务器功能以及其他多项安全保护措施,利用网络策略功能服务器系统将会强制要求任何一台企图与之连接的普通工作站都要通过特定的网络健康检查,比方说普通工作站中是否安装了防火墙程序,是否及时更新了病毒库内容,是否安装了最新版本的系统补丁程序等,只有当普通工作站符合各种安全检查之后,服务器系统才允许该工作站连接服务器并访问其中的内容;而那些没有通过服务器系统安全检查的普通工作站将会被隔离到另外一个受限网络,或者降低服务器的访问权限,
在被隔离到另外一个受限网络中时,普通工作站需要及时通过受限网络来修复该工作站的安全状态,比方说迅速从局域网中的补丁服务器中下载安装系统补丁程序,强制启用系统中的防火墙程序等,在符合网络安全条件之后,该工作站往往就能正常访问服务器系统中的任何内容了。
安装网络策略服务器
虽然Windows Server 2008系统已经内置了网络策略服务器功能,不过在默认状态下该功能并没有被启用,此时我们只有先将该功能组件安装起来,才能利用该功能的安全防范本领来保护服务器系统的安全。
在安装网络策略组件时,我们首先要以系统管理员权限进入到Windows Server 2008系统,打开该系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”命令,打开对应系统的服务器管理器窗口;
在该服务器管理器窗口的左侧显示区域,选中“角色”选项,在对应该选项的右侧显示区域中,单击“添加角色”功能图标,打开角色添加向导设置窗口;从该设置窗口的提示信息中,我们看到要安装网络策略组件需要做好三个方面的准备工作,第一就是确保管理员账号具有强密码,第二就是保证网络设置已经配制好,第三就是已经安装Windows Update中的最新安全更新;
在组网规模相对大一些的局域网工作环境中,连接到网络中的每一台计算机安全状况也是各不相同,好一些的既有杀毒软件又有网络防火墙的保护,一般化的往往是只安装了杀毒软件、防火墙中的一种,最差的当然是什么也没有安装了,那些没有任何安全防护的计算机一旦连接到局域网中时,病毒、木马很可能会通过网络袭击局域网中的文件服务器或其他重要计算机,严重时能导致局域网网络发生瘫痪现象。那对于局域网管理员来说,该如何才能有效制止那些没有采取任何安全措施的计算机直接连接到局域网中呢?对于这样的难题,网络管理员们好像始终没有找到有效的应对办法;不过,自从有了Windows Server 2008系统后,这样的难题就被迎刃而解了,因为该系统推出了一种新的安全防护措施网络访问保护功能,该功能会自动对访问局域网的所有普通计算机强制进行安全检查,如果发现其安全健康标准不达标时,会责令其立即采取安全修正措施,或者干脆禁止其访问局域网网络,那样一来局域网网络的安全性就能得到有效保证了!
走近网络访问保护网络访问保护功能,其实并不是Windows Server 2008系统所特有的,早在Windows Vista系统中该功能就被推出了,只是该功能在Windows Server 2008组网环境中有了更大的用武之地;网络访问保护功能可以对连接到局域网中的所有普通计算机强行执行安全检查,以便确保那些通过安全检查的普通计算机才能连接到局域网中,对于那些安全标准不达标的普通计算机来说,网络访问保护功能则会强制其及时采取相关措施进行安全防护,或者干脆禁止其访问局域网网络,那样一来局域网网络的安全性就能得到有效保证了。 不同的局域网工作环境,对网络访问的安全性要求是不相同的,网络访问保护功能可以允许网络管理员依照局域网的实际组网情况,来个性化定制网络访问健康策略,并能灵活地指定究竟哪些计算机连接到局域网中时需要进行健康策略安全验证;当局域网中有计算机没有通过网络访问保护功能的安全检查时,该功能还允许网络管理员通过合适设置,来指定这些没有安全达标的普通计算机是连接到一个受限制的网络,还是进行其他安全修正操作,直到它们的安全检查符合网络访问保护功能设定的健康策略为止。 为了让那些安全措施不合格的普通计算机能够重新通过安全审查,网络访问保护功能特意内置了系统运行状况代理、系统健康验证器、第三方网络安全保护应用程序等功能组件,来帮助普通计算机自动使用网络管理员之前设置好的安全解决方案,比方说安装杀毒软件、更新补丁程序、使用虚拟连接通道、安装防火墙程序等。 当然,我们在这里需要弄清楚的是,网络访问保护功能自身是没有抵抗入侵、查杀病毒木马本领的,它其实是起一种牵头、协调作用,将局域网中的安全措施、安全设置以及第三方安全工具协调好,让它们在关键时刻各司其责、分工协作,共同保护局域网网络能够安全运行,
网络访问保护原理利用网络访问保护功能保护局域网运行安全时,往往需要经过安全健康认证检查、网络安全隔离、强制安全修正以及持续安全监控等工作环节。 为了检查普通计算机的安全性是否符合要求,我们必须之前就要定义好一组安全健康标准,以便通过该健康标准对普通计算机进行安全评估。当有普通计算机尝试连接局域网网络时,网络访问保护功能就会自动使用安全健康标准对照检查普通计算机的安全状况,一旦发现普通计算机不符合安全健康标准时,网络访问保护功能就会认定它们为不安全的计算机。对于那些不安全的普通计算机来说,网络访问保护功能可以通过合适设置将普通计算机的网络连接设置成适当状态,例如可以将不安全的计算机设置成隔离状态,让其从局域网网络中逻辑隔绝开来,直到普通计算机通过安全检查为止。 为了让那些不安全的普通计算机快速恢复到安全状态,网络访问保护功能的强制安全修正环节会自动要求不安全的计算机连接到指定的服务器中下载、安装网络病毒程序或系统漏洞补丁程序;对于那些安全的普通计算机来说,网络访问保护功能仍然会对它们进行继续监控。将网络访问保护启用好由于网络访问保护功能具有很好的预防免疫特点,不少网络管理员常常会下意识地使用该功能,来有效保障局域网的运行安全性。Windows Server 2008系统在缺省状态下,并没有自动安装运行网络访问保护功能,为此我们需要采取如下步骤来手工将网络访问保护功能启用好: 首先以系统特权账号登录进Windows Server 2008系统,打开系统开始菜单,从中依次单击程序、管理工具、服务器管理器选项命令,在弹出的服务器管理器窗口左侧子窗格中,用鼠标点选其中的角色分支选项;图1 开始之前
其次在目标分支选项对应的右侧子窗格中单击添加角色按钮,打开如图1所示的安装向导设置界面,依照向导设置界面的提示,我们不难看出要想将网络访问保护功能成功启用好,既要保证Windows Server 2008系统已经通过Windows Update程序对本地系统进行了最新的安全更新操作,又要确保Windows Server 2008系统的上网参数全部设置正确,同时要求登录Windows Server 2008系统的所有用户都必须使用强密码访问局域网服务器; 在确认上面的各项安装要求都符合条件后,单击安装向导界面中的下一步按钮,随后屏幕上会弹出服务器角色选择列表对话框,检查网络策略和访问服务功能选项有没有被选中;正常情况下,网络策略和访问服务功能选项不会被Windows Server 2008系统默认选中的,换句话说就是网络访问保护功能并不会被Windows系统自动安装成功; 当发现网络策略和访问服务功能选项确实没有被选中时,那我们就需要将该功能选项重新选中,同时单击下一步按钮,之后屏幕上将会出现网络策略、访问服务等方面的说明信息,我们从这些说明信息中能够知道网络访问保护功能不但可以保护本地网络安全,也能保护远程网络访问安全; 紧接着再单击安装向导界面中的下一步按钮,在弹出的如图2所示向导设置窗口中,将网络策略服务器项目选中,并且将相关子项也选中,下面再单击安装按钮,如此一来Windows Server 2008系统就会开始自动安装启用网络访问保护功能了。
在网吧做网管最重要的一项工作就是杀毒防毒工作,做好安全是件很棘手的事情,但是只要防患于未然,病毒也没有想象中那么难以阻挡,本篇文章我们和大家分享如何设置网吧路由器才能让网吧的电脑更加安全?
首先是在路由器的出口和入口创建访问列表来控制病毒的出入,这些访问控制列表都是基于端口(比如135、136、445、4444等)的。通常情况下,管理员可通过察看数据包的数目,以调整他们的顺序,将转换多的包放在前面可以提高速度。
Router(Config)#Access-list110denytcpanyanyeq135
Router(Config)#Access-list110denyudpanyanyeq135
Router(Config)#Access-list110denytcpanyanyeq136
Router(Config)#Access-list110denyudpanyanyeq136
Router(Config)#Access-list110denytcpanyanyeq445
Router(Config)#Access-list110denyudpanyanyeq445
Router(Config)#Access-list110denytcpanyanyeq4444
Router(Config)#Access-list110denyudpanyanyeq4444
按照上述方式,将列表应用到相应的端口即可以了,
除此之外网吧路由器要做好优化,开启服务越少,安全性越高。因此对于一些不必要的服务要禁止掉。
网络安全不再仅仅是用户组网才会思考的问题,如今的网络情况纷繁复杂,网络安全更要考虑的详尽周到,笔者提醒您P2P用户,其实Windows网络安全体验我们只差五步。
1.必须有本地的安全策略
增强每一个个人的系统安全是重要的,因为在这种设置中没有组策略,你必须要依赖Windows本地的安全策略。你可以通过Window控制面板或者通过运行secpol.msc或者secpol.msc来访问你的本地安全策略设置。
要记住,你需要做的关键的设置包括:启用审计失败事件的记录、要求使用Ctrl+Alt+Del键登录、创建一个口令策略、启用一项通知试图登录的用户的文本消息,在用户登录时告知用户可接受的使用策略、以及不显示最后一个用户的名字。
2.需要批准共享
在P2P环境中,你还需要向网络中的每一个人通报共享。如果没有这样做,要记住最低限度的规则并且设置共享许可,这样用户能够浏览并看到允许他们看到的东西。
3.文件许可非常重要
按照共享批准的同一个原则,需要在本地的每一个系统建立文件许可,以保证只有得到授权的人才能打开、修改和删除文件。
4.加密离线文件
在P2P环境中需要Windows离线文件加密功能是普通的,特别是对于移动用户来说更是如此,
如果你使用这种功能,确保使用这些Windows指南加密你的文件。最好是考虑使用PGP桌面专业版或者SecureStar DriveCrypt加密软件对硬盘进行部分加密或者全部加密,以确保你的移动数据的安全。
5.评估你的网络安全
定期评估你的P2P网络安全也是非常重要的。在评估的时候要确保记住以下事情:
·对各个系统实施本地安全策略一致性检查。使用免费的和商业性的软件工具就很容完成这种检查。
·检查不属于各个系统所有的本地用户账号。
·确认为各个系统设置的你的共享和文件许可是恰当的。
·查找不应该共享的文件夹和硬盘,或者查找不应该存在的文件夹和硬盘。这在P2P网络中是特别普通的事情。在P2P网络中硬盘和文件夹共享是正常的。
·无论你使用什么工具,在进行测试的时候,要确保实施经过身份识别的扫描(以标准的用户、管理员或者这两者的身份登录)和未经过身份识别的扫描(仅使用零会话连接,而不登录)。这会使你了解网络的真实状况,了解哪里配置错误了,并且了解不守纪律的内部人员或者外部 能够在你的系统里看到什么。
这样我们就可以很好的解决的此项安全问题。
1. 为路由器间的协议交换增加认证功能,提高网络安全性。
路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式,就会鉴别路由信息的收发方。
2. 路由器的物理安全防范。
路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”,进而登录路由器,就可以完全控制路由器。
3. 保护路由器口令。
在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。一旦密码泄漏,网络也就毫无安全可言。
4. 阻止察看路由器诊断信息。
关闭命令如下: no service tcp-small-servers no service udp-small-servers
5. 阻止查看到路由器当前的用户列表。
关闭命令为:no service finger。
6. 关闭CDP服务。
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。
7. 阻止路由器接收带源路由标记的包,将带有源路由选项的数据流丢弃。
“IP source-route”是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。关闭命令如下: no ip source-route。
8. 关闭路由器广播包的转发。
Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板,占用网络资源,甚至造成网络的瘫痪。应在每个端口应用“no ip directed-broadcast”关闭路由器广播包。
9. 管理HTTP服务。
HTTP服务提供Web管理接口。“no ip http server”可以停止HTTP服务。如果必须使用HTTP,一定要使用访问列表“ip http access-class”命令,严格过滤允许的IP地址,同时用“ip http authentication ”命令设定授权限制。
10. 抵御spoofing(欺骗) 类攻击。
使用访问控制列表,过滤掉所有目标地址为网络广播地址和宣称来自内部网络,实际却来自外部的包。 在路由器端口配置: ip access-group list in number 访问控制列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令将过滤BOOTP/DHCP 应用中的部分数据包,在类似环境中使用时要有充分的认识。
11. 防止包嗅探。
黑客经常将嗅探软件安装在已经侵入的网络上的计算机内,监视网络数据流,从而盗窃密码,包括SNMP 通信密码,也包括路由器的登录和特权密码,这样网络管理员难以保证网络的安全性。在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议,请使用SSH 或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
12.校验数据流路径的合法性。
使用RPF (reverse path forwarding)反相路径转发,由于攻击者地址是违法的,所以攻击包被丢弃,从而达到抵御spoofing 攻击的目的。RPF反相路径转发的配置命令为: ip verify unicast rpf。 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速转发。
13. 防止SYN 攻击。
目前,一些路由器的软件平台可以开启TCP 拦截功能,防止SYN 攻击,工作模式分拦截和监视两种,默认情况是拦截模式。(拦截模式: 路由器响应到达的SYN请求,并且代替服务器发送一个SYN-ACK报文,然后等待客户机ACK。如果收到ACK,再将原来的SYN报文发送到服务器; 监视模式:路由器允许SYN请求直接到达服务器,如果这个会话在30秒内没有建立起来,路由器就会发送一个RST,以清除这个连接。) 首先,配置访问列表,以备开启需要保护的IP地址: access list [1-199] [deny permit] tcp any destination destination-wildcard 然后,开启TCP拦截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
14. 使用安全的SNMP管理方案。
SNMP广泛应用在路由器的监控、配置方面。SNMP Version 1在穿越公网的管理应用方面,安全性低,不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。配置命令: snmp-server community xxxxx RW xx ;xx是访问控制列表号 SNMP Version 2使用MD5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。
综述:
路由器作为整个网络的关键性设备,安全问题是需要我们特别重视。当然,如果仅仅是靠上面的这些设置方法,来保护我们的网络是远远不够的,还需要配合其他的设备来一起做好安全防范措施,将我们的网络打造成为一个安全稳定的信息交流平台。
一、关闭SAM账号和共享的匿名枚举功能
1、首先在键盘上按下“Win+R”打开“运行”窗口,输入“gpedit.msc”命令后按回车键,打开本地组策略编辑器;
2、然后在打开的本地组策略编辑器窗口中,依次点开“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”;3、在“安全选项”右侧窗口中找到并双击“网络访问:不允许SAM账号和共享的匿名枚举”选择项,然后在弹出的窗口中选中“已启用”选项,之后点击确定按钮保存退出;
4、这样非法用户就无法直接获得共享信息和账户列表了,win7系统下通过设置组策略让共享目录更安全的技巧
。二、禁止匿名SID/名称转换
1、同样在组策略窗口中,依次点击打开“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”;
2、在“安全选项”右侧窗口中找到并双击“网络访问:允许匿名SID/名称转换”,在弹出的窗口中选择“已停用”,点击“确定”保存即可,
三、禁止非授权访问
1、同样打开“运行”窗口,输入“gpedit.msc”命令后按回车键,打开本地组策略编辑器;
2、在打开的组策略编辑器中,依次选择“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“用户权限分配”;
3、在“用户权限分配”的右侧窗口中选择“从网络访问此计算机”,将Everyone、Guest之类的账户删除,将一些必须使用网络访问的账户添加进来;4、打开“拒绝从网络访问这台计算机”,同样将其它用户全部删除,将需要访问共享目录的授权帐户添加进来即可。
