对于一个局域网来说,是会经常遇到来自外网的病毒攻击,所以我们在设置局域网时,必须考虑到其安全性,在设置路由器时,打开防御恶意攻击的功能,以达到保障局域网安全的目的,本文以水星路由器为例,给大家详细介绍一下。
一般情况下,攻击发生在应用层,主要是针对网站服务器等外网可以访问到的信息,我们可以采用防火墙加包过滤的方式还解决这个问题。
一、防火墙
1、使用防火墙软件可以控制局域网和外网之间传递的数据,防火墙不但检查TCP/IP的源地址和目的地址,还检查了源、目的端口数字和包的内容。
2、端口和消息内容这些信息使防火墙比包过滤有更强的防范能力,因为这些信息使防火墙控制特定进、出的主机地址,防火墙的功能主要用来允许或禁止特定的应用服务,和允许或禁止访问基于被传递的信息内容的服务。
3、防火墙中的DMZ,包含在DMZ中的电脑与非DMZ中的电脑相比安全性要差一些,但是这些电脑可以接受来自外网的所有访问,你可以把例如网站和FTP服务器放在DMZ,从而可以保护其它的电脑,防火墙上的规则设定为阻止进入安全局域网的通信数据,仅允许传出连接的建立。
4、为了安全还可以给局域网分段,每段设置一个防火墙,每个防火墙使用不同的安全规则,需要记住的一点是,你需要做的就是定期的检查防火墙对可疑事件做出的日志记录,还需要去发现和使用软件的安全补丁。
二、包过滤
1、包过滤的作用是允许所有传出通信数据通过,和拒绝建立新的传入连接,它在应用层检查通信数据,检查消息地址中的端口,或检查特定应用的消息内容,失败的任何通信数据将被拒绝。
2、TCP/IP地址由机器地址和标识程序处理消息的端口数字组成,这个地址/端口组合信息对每个TCP/IP消息都是有效的,包过滤仅是观察TCP/IP地址,而不是端口数字或消息内容。
3、通过使用包过滤规则,系统的安全性提高了许多,因为它拒绝了外网上主动与你的电脑建立新连接的请求,阻止使用TCP的通信数据进入,从而杜绝了对共享驱动器和文件的未授权访问,过滤器通常的应用是配置在连接你的电脑和外网的路由器上,在局域网和外网之间放置过滤器后,就可以保证局域网与外网所有的通信数据都要经过过滤器。
4、如果包过滤软件有能力检查源地址子网,从子网物理端口传递消息到路由器,你就可以制定规则来避免虚假的TCP/IP地址,包过滤虽然对网络的安全防范能起到很好的作用,但包过滤也并不是万能的,它们一般不能防御使用UDP协议的攻击,因为过滤器不能拒收开放的消息。
在一个局域网中,最好的办法当就是就是采用防火墙和包过滤的组合,这样可以最大化的加强局域网安全。
