路由器怎么防網絡中的惡意攻擊
2019-12-24 02:55:10
供稿:網友
目前流行的惡意攻擊讓我們防不勝防�。而我們使用ADSL或者小區寬帶的時候經常會使用路由器進行多臺機器共享上網。那么是否覺得路由器僅僅就是個上網工具呢?其實不然���,利用好你的路由器,還能夠防范黑客的惡意攻擊呢���。下面就讓我們來實戰一番:
目的:限制外部電腦連接本小區的192.168.0.1這臺主機的23(telnet)���、80(www)�����、3128等Port。
前提:Router接內部網絡的接口是Ethernet0/1�,每一個命令之后按Enter執行�,以Cisco路由為準����。
步驟1 在開始菜單中選擇運行,在彈出的對話框中輸入“cmd”并回車����,出現窗口后����,在提示符下連接路由器�,指令格式為“telnet 路由器IP地址”。當屏幕上要求輸入telnet password時(多數路由器顯示的是“Login”字樣)����,輸入密碼并確認無誤后�����,再輸入指令enable,屏幕上顯示要求輸入enable password時輸入密碼�。
提示:這兩個密碼一般由路由器生產廠商或者經銷商提供���,可以打電話查詢。
步驟2 輸入指令Router# configure termihal即可進入路由器的配置模式,只有在該模式下才能對路由器進行設置���。
步驟3 進入配置模式后,輸入指令Router (config)#access -list 101 deny tcp any host 192.168.0.1 eq telnet,該指令的作用是設定訪問列表(access list),該命令表示拒絕連接到IP地址為192.168.0.1的主機的屬于端口(Port) 23(telnet)的任何請求����。
步驟4 輸入Router (config)#aecess -list 101 deny tcp any host 192.168.0.1 eq www 指令以拒絕來自任何地方對IP地址為192.168.0.1的主機的屬于端口80(www)的請求�。
步驟5 最后需要拒絕的是來自任何地方對IP地址為192.168.0.1的主機屬于端口3128的訪問��,這需要輸入指令Router(config)#access list 101 deny tcp any host 192.168.0.1 eq 3128來完成�����。
步驟6 到此,已經設置好我們預期的訪問列表了�����,但是�����,為了讓其他的所有IP能夠順利訪問���,我們還需要輸入Router(config)#aceess -list 101 permit ip any any來允許其他訪問請求����。
但是,為了讓路由器能夠執行我們所做的訪問列表���,我們還需要把這個列表加入到接口檢查程序,具體操作如下�。
輸入指令Router(config)#interface eO/1進入接口(interface) ethernet 0/1����,然后鍵入指令Router(config-if)#ip access-group 101 out 將訪問列表實行于此接口上��。這樣一來,任何要離開接口的TCP封包,均須經過此訪問列表規則的檢查,即來自任何地方對IP地址為192.168.0.1的主機�����,端口(port)屬于telnet(23)����,www(80),3128的訪問一律拒絕通過。最后�,輸入指令write將設定寫入啟動配置����,就大功告成了��。
這樣一來�,您的主機就安全多了��,雖然只是禁止了幾個常用端口��,但是能把不少搞惡作劇的人拒之門外。另外,如果看見有什么端口可能會遭到攻擊或者有漏洞了�,你也可以通過上面的方法來將漏洞堵住�����。
