【賽迪網訊】對于大多數局域網來說，交換機和路由器已經成為正在使用最多的網絡設備之一。在很多管理員眼中，交換機和路由器不過就是一個共享接入Internet的硬件設備，如果忽視了它們的安全設置，整個局域網很可能就是一扇敞開的大門，但是經過下述幾方面的設置之后，這扇門也會變成一堵安全的墻。

（1）設置安全的口令。一般來說，路由器的登錄口令都是直接采用admin、888888、666666等比較容易猜出的字串，有些路由器會在登錄界面以口令明文形式進行提示，甚至還有些路由器必須要手工設置密碼，否則直接單擊“登錄”按鈕就可以對路由器進行設置，因此將交換機或者路由器投入使用之前一定要設置安全的口令。

比如需要對阿爾法V8路由器修改密碼，可以在IE瀏覽器中登錄路由器之后，依次單擊“基本設置→修改密碼”鏈接，此時先輸入舊密碼，并且輸入兩次完全一致的新密碼，確認之后即可完成密碼重新設置的操作。

但是在設置密碼的時候需要注意，密碼的長度盡可能確保在8位以上，而且盡量不要采用自己的姓名、生日、電話號碼之類容易被別人猜測得到的字串作為密碼，最好能夠采用大小寫字母、數字、特殊符號組成的字串作為密碼，這樣不僅可以避免別人隨意猜測密碼，即使借助專門的軟件進行暴力破解也需要很長的時間，因此把由于交換機和路由器弱口令而導致的局域網隱患下降到最低點。

（2）關閉Ping命令測試。設置好路由器之后，讓它做什么它就會做什么，即便對于一些來自于外部網絡的攻擊命令也不例外。通常黑客進行攻擊之前，首先要借助Ping命令識別目前正在使用的計算機，因此Ping通常用于大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收Ping請求的應答能力，就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標。在通過Ping獲取目標計算機之后，黑客就能夠通過各種手段進行攻擊。例如Smurf攻擊就是一種拒絕服務攻擊，在這種攻擊中，攻擊者使用假冒的源地址向路由器發送一個“ICMPecho”請求，這要求所有的主機對這個廣播請求做出回應。雖然這種攻擊并不會直接破壞網絡的正常運行，但是會降低網絡性能。

在阿爾法路由器管理窗口中，依次單擊“安全設置→雜項”鏈接，并且選中“WAN口Ping包過濾”后部的“啟用”復選框。經過這樣設置之后，凡是外部Internet發送來的Ping請求都會被自動過濾，從而增強了路由器和局域網內部計算機的安全。

（3）關閉虛擬服務器。幾乎所有的交換機和路由器都提供了虛擬服務器的功能，虛擬服務器使得外部Internet用戶可訪問架設在內部局域網其他計算機中的WWW、FTP和其他服務。這種虛擬服務器功能雖然給內部局域網架設服務器帶來了諸多便利，但是卻給局域網的安全帶來了隱患。

例如Web網站所使用的HTTP身份識別協議相當于向整個網絡發送一個未加密的口令，但是HTTP協議中沒有一個用于驗證口令或者一次性口令的有效規定。雖然這種未加密的口令對于從遠程位置設置路由器也許是非常方便的，可是別人也有可能利用這個漏洞入侵服務器，進而威脅到整個局域網的安全。

在路由器中關閉虛擬服務器的時候，在管理窗口中依次單擊“重定向規則→虛擬服務器”鏈接，并且在如圖24-7所示的窗口中取消所有已經開啟的虛擬服務。

（4）關閉IP源路由。某些程序需要多條連接，例如Internet游戲、視頻會議、網絡電話等，但是這些程序需要通過NAT路由才可以正常工作。通常說來，IP協議允許一臺主機指定數據包通過路由器，而不是允許網絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障，但是這種用途很少應用，反倒便于黑客對內部局域網進行偵察，或者用于攻擊者在網絡中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應該關閉這個功能。

在路由器管理窗口中依次單擊“高級設置→路由表”鏈接，并且取消所有已經設置的特殊應用程序NAT路由即可。

（5）MAC地址控制。通常交換機和路由器都提供固定IP映射和有線連接控制兩種MAC地址控制方法，通過MAC地址設置可以讓管理員來設置允許或拒絕用戶連接到路由器或者Internet，因此可以增加內部網絡計算機的安全性。如果某個用戶被拒絕連接到路由器，表示該用戶無法存取Internet以及某些網路資源；當某個客戶端計算機可以接入路由器，表明它能夠接入Internet和使用其他網絡資源。

在路由器管理窗口中依次單擊“安全設置→MAC地址控制”鏈接，此時控制列表中有2個客戶端，其中客戶端1的網卡MAC地址為“00-12-34-56-78-90”、IP地址為手動設置的192.168.1.100；客戶端2的網卡MAC地址為“00-12-34-56-78-92”，它將從DHCP服務器中自動獲得IP地址。

如果客戶端1嘗試使用192.168.123.100之外的IP地址，它將被拒絕接入路由器。同樣，如果網卡MAC地址不在MAC地址列表中的時候，這些客戶端計算機都會被拒絕接入路由器。

（6）確定數據包過濾的需求。確定數據包過濾實際上就是封鎖端口，而合適的封閉端口對于提升局域網的安全有著極大的作用。對于高度安全的網絡來說，特別是在存儲或者保持秘密數據的時候，通常要求經過允許才可以過濾。在這種規定中，除了網路功能需要的之外，所有的端口和IP地址都必須要封鎖。例如，用于Web通信的端口80和用于SMTP的110/25端口之外，所有其他的端口和地址都可以關閉。

大多數路由器都通過使用“按拒絕請求實施過濾”的方案來增強整個局域網的安全性，當使用這種過濾方法時，可以封鎖局域網沒有使用的端口、特洛伊木馬或者偵查活動常用的端口來增強網絡的安全性。例如，封鎖139端口和445（TCP和UDP）端口將使黑客更難對網絡實施窮舉攻擊；封鎖31337（TCP和UDP）端口將使BackOrifice木馬程序更難攻擊網絡。

在路由器管理窗口中依次單擊“安全設置→報文過濾”鏈接，并且選中“拒絕所有數據包通過，匹配以下條件的數據包除外”選項，接著分別設置80、110和25這3個常用端口，這樣除非進行瀏覽網頁或者收發電子郵件的操作，其余的網絡操作都將會給路由器自動過濾，從而大大提升了內部網絡計算機的安全。

（7）保證路由器的物理安全。從網絡嗅探的角度看，路由器比集線器更安全，這是因為路由器根據IP地址智能化地路由數據包，而集線器向所有的節點播出數據。如果連接到那臺集線器的一個系統將其網絡適配器置于混亂的模式，它們就能夠接收和看到所有的廣播，包括口令、POP3通信和Web通信。但是一定要確保物理訪問交換機和路由器的客戶端計算機是安全的，以防止未經允許的用戶將嗅探設備放在內部網絡中。

（8）更新固件版本。就像Windows操作系統一樣，交換機和路由器的操作系統也需要更新，以便修正編程錯誤、軟件bug和緩存溢出等問題。因此，管理員需要經常登錄廠商網站來尋找更新版本的升級文件，并且對交換機和路由器進行升級操作。

在路由器管理窗口中依次單擊“工具箱→固件升級”鏈接，單擊“瀏覽”按鈕選擇已經下載保存的固件升級文件，最后單擊“升級”按鈕即可開始路由器升級操作。不過在升級過程中要格外注意電源的穩定性，如果中途意外斷電有可能導致路由器無法正常使用。

（9）審閱安全記錄。審閱路由器記錄是查出安全事件的最有效的方法，無論是查出正在實施的攻擊還是未來攻擊的征候都非常有效。利用出網的記錄，還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟件程序，從而在這些惡性軟件發作之前有效地進行阻截。