“远程路由”方案协助解决网络安全管理
作者: 中国矿业大学(北京)魏永禄 马小龙
责任编辑: 阚智
来源: 中小企业IT采购
时间: 2006-01-04 09:33
关键字: 路由器,网络
浏览: 0
点赞: 0
收藏: 0
“远程路由”解放网络管理
计算机技术实验室是我校规模最大的公共实验室,承担着全校本科生和成人教育学院学生的计算机实验教学任务。现在拥有400多台计算机,分为公共实验室、软件实验室、网络实验室、硬件实验室。其中公共实验室又分为公共实验室(Ⅰ)、公共实验室(Ⅱ)、公共实验室(Ⅲ)、公共实验室(Ⅳ)。每学期上机学生人数接近5000人,实验课程达50多门。由于实验室的400多台计算机全部处于连网状态,有许多因素可能会导致网络故障,甚至网络瘫痪,影响实验教学,所以网络安全管理着实成为让实验室教师头疼的一件大事。实验室网络安全的威胁有以下四个方面:
首先是学生可以访问各类网站,其安全意识比较淡薄,所以感染病毒再所难免;其次是学生自带的各种移动存储设备,也会携带病毒。一旦有一台机器感染,那么就会起连锁反应,致使整个网络陷入瘫痪;第三是广播风暴,随着网络中计算机数量的增多,广播包的数量会急剧增加,当广播包的数量达到30%时,网络传输效率会明显下降;第四是蠕虫病毒,这种病毒导致被感染的用户只要一连上网就不停的往外发邮件,造成局域网近于瘫痪。
为了较好地解决上述问题,我们反复试验了多种方法,其中使用路由器的方法最为有效。因为路由器具有防火墙功能,可以灵活组合成一系列包含数据包过滤、MAC地址过滤、IP地址过滤、域名过滤等控制规则,而远程路由管理,更是能够帮助管理员轻松控制指定实验室中的计算机对Internet的访问、限制指定实验室中的计算机对某些网站的访问等等。
下面以TL-R860路由器为例,说明如何使用“IP地址过滤”功能,“通过远程路由控制”管理实验室中计算机对Internet的访问。
修改账号
要想对实验室的宽带路由器进行远程管理,首先必须拥有路由器的管理员账号。但默认情况下,路由器的初始账号和密码都比较简单。如果不对路由器的初始账号进行修改,就可能被他人利用,进行各种破坏活动,后果不堪设想。修改管理员账号的操作如下:
先在需要被远程控制的实验室局域网内的客户机上运行IE浏览器,在浏览器地址栏中输入路由器默认地址“http://192.168.1.1/”后并回车,然后输入路由器管理员账号和密码,登录到宽带路由器管理界面。管理界面分左右两部分:左侧为命令区、右侧为参数区。在路由器管理界面的左侧命令区,点击“系统工具→修改登录口令”,进入“修改登录口令”管理页面。
在“修改登录口令”管理页面中,按照提示输入用户名和口令,然后点击“保存”按钮,即完成对账号的修改操作。注意:新用户名和口令一定要足够复杂,以免被攻击者轻易破解。
启用远程控制
一般情况下路由器默认设置是没有启用“远程控制”功能的,因此还要手工启用。在宽带路由器管理界面的左侧命令区,点击 “安全设置→远端Web管理”,进入“远端Web管理”设置界面:
默认情况下,路由器使用“80”端口来提供远程管理功能,非常不安全。因此,需要修改端口号,使用一个不常用的端口来提供远程管理功能。在“Web管理端口”栏中修改远程管理使用的端口号(如“7071”)。现在,攻击者就很难猜到端口号了。
在“远端Web管理IP地址”栏中,输入可对路由器进行远程控制计算机的IP地址。为了安全起见,我们只允许实验室总控制室中一台使用特定IP地址(“192.168.200.44”)的计算机远程登录路由器,设置结果如图二所示。点击“保存”按钮,完成远程管理使用端口的修改和远程控制计算机IP地址的设置。现在只有特定的计算机可以远程登录路由器,其他机器则不能远程登录路由器。
安全“双保险”
面对计算机病毒和黑客攻击,还应该开启路由器内置的防火墙,为路由器的远程控制安全加上“双保险”。而且只有开启防火墙的总开关,“IP地址过滤”、“域名过滤”、“MAC地址过滤”等功能才能生效。在宽带路由器管理界面的左侧命令区,点击“安全设置→防火墙设置”,进入“防火墙设置”界面。
在管理界面右侧的设置框中选中“开启防火墙(防火墙的总开关)”和“开启IP地址过滤”选项,并保持IP地址过滤的缺省过滤规则--“凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器”,点击“保存”按钮后启用路由器的防火墙和IP地址过滤功能。
添加IP地址过滤条目
在宽带路由器管理界面的左侧命令区,点击“安全设置→IP地址过滤”,在右侧的设置框中点击“添加新条目”按钮,弹出“IP地址过滤”添加新条目对话框。
在添加“IP地址过滤”对话框中,输入“生效时间”和“局域网IP地址”范围,选择“通过”方式为“允许通过”,设置结果如图四所示。点击“保存”按钮返回“IP地址过滤”界面。
注意:完成路由器的设置操作后,必须重新启动路由器,否则会出现意想不到的错误。
远程控制指定访问
对每一个需要进行远程控制实验室的路由器,重复上述步骤的操作,开启路由器的远程控制功能,并完成“IP地址过滤”策略的设置。在第四步“添加IP地址过滤条目”时,“局域网IP地址”输入内容,必须是被管理实验室的IP地址范围。
注意:由于所有实验室的路由器都使用总控制室指定的一台计算机进行远程控制,所以必须修改每一个实验室路由器的默认地址(http://192.168.1.1/),并且IP地址不能重复。从安全的角度也应该修改路由器的默认地址。
完成以上操作后,我们就可以在总控制室中轻松控制指定实验室中计算机对Internet的访问方式。
当某一个实验室的计算机需要访问Internet时,只要在总控制室指定的计算机运行IE浏览器,登录该实验室路由器,进入“IP地址过滤”界面(图五),点击“使所有条目生效”按钮,这个实验室的计算机就可以访问Internet。
当禁止某一个实验室的计算机访问Internet时,只要在总控制室指定的计算机运行IE浏览器,登录该实验室路由器,进入“IP地址过滤”界面(图五),点击“使所有条目失效”按钮,这个实验室的计算机便无法访问Internet。
对于限制指定计算机不能上网的方法,除了上面介绍的“IP地址过滤”设置外,还可以通过“MAC地址过滤”、“数据包过滤”、“域名过滤”等方式实现。
计算机技术实验室是我校规模最大的公共实验室,承担着全校本科生和成人教育学院学生的计算机实验教学任务。现在拥有400多台计算机,分为公共实验室、软件实验室、网络实验室、硬件实验室。其中公共实验室又分为公共实验室(Ⅰ)、公共实验室(Ⅱ)、公共实验室(Ⅲ)、公共实验室(Ⅳ)。每学期上机学生人数接近5000人,实验课程达50多门。由于实验室的400多台计算机全部处于连网状态,有许多因素可能会导致网络故障,甚至网络瘫痪,影响实验教学,所以网络安全管理着实成为让实验室教师头疼的一件大事。实验室网络安全的威胁有以下四个方面:
首先是学生可以访问各类网站,其安全意识比较淡薄,所以感染病毒再所难免;其次是学生自带的各种移动存储设备,也会携带病毒。一旦有一台机器感染,那么就会起连锁反应,致使整个网络陷入瘫痪;第三是广播风暴,随着网络中计算机数量的增多,广播包的数量会急剧增加,当广播包的数量达到30%时,网络传输效率会明显下降;第四是蠕虫病毒,这种病毒导致被感染的用户只要一连上网就不停的往外发邮件,造成局域网近于瘫痪。
为了较好地解决上述问题,我们反复试验了多种方法,其中使用路由器的方法最为有效。因为路由器具有防火墙功能,可以灵活组合成一系列包含数据包过滤、MAC地址过滤、IP地址过滤、域名过滤等控制规则,而远程路由管理,更是能够帮助管理员轻松控制指定实验室中的计算机对Internet的访问、限制指定实验室中的计算机对某些网站的访问等等。
下面以TL-R860路由器为例,说明如何使用“IP地址过滤”功能,“通过远程路由控制”管理实验室中计算机对Internet的访问。
修改账号
要想对实验室的宽带路由器进行远程管理,首先必须拥有路由器的管理员账号。但默认情况下,路由器的初始账号和密码都比较简单。如果不对路由器的初始账号进行修改,就可能被他人利用,进行各种破坏活动,后果不堪设想。修改管理员账号的操作如下:
先在需要被远程控制的实验室局域网内的客户机上运行IE浏览器,在浏览器地址栏中输入路由器默认地址“http://192.168.1.1/”后并回车,然后输入路由器管理员账号和密码,登录到宽带路由器管理界面。管理界面分左右两部分:左侧为命令区、右侧为参数区。在路由器管理界面的左侧命令区,点击“系统工具→修改登录口令”,进入“修改登录口令”管理页面。
在“修改登录口令”管理页面中,按照提示输入用户名和口令,然后点击“保存”按钮,即完成对账号的修改操作。注意:新用户名和口令一定要足够复杂,以免被攻击者轻易破解。
启用远程控制
一般情况下路由器默认设置是没有启用“远程控制”功能的,因此还要手工启用。在宽带路由器管理界面的左侧命令区,点击 “安全设置→远端Web管理”,进入“远端Web管理”设置界面:
默认情况下,路由器使用“80”端口来提供远程管理功能,非常不安全。因此,需要修改端口号,使用一个不常用的端口来提供远程管理功能。在“Web管理端口”栏中修改远程管理使用的端口号(如“7071”)。现在,攻击者就很难猜到端口号了。
在“远端Web管理IP地址”栏中,输入可对路由器进行远程控制计算机的IP地址。为了安全起见,我们只允许实验室总控制室中一台使用特定IP地址(“192.168.200.44”)的计算机远程登录路由器,设置结果如图二所示。点击“保存”按钮,完成远程管理使用端口的修改和远程控制计算机IP地址的设置。现在只有特定的计算机可以远程登录路由器,其他机器则不能远程登录路由器。
安全“双保险”
面对计算机病毒和黑客攻击,还应该开启路由器内置的防火墙,为路由器的远程控制安全加上“双保险”。而且只有开启防火墙的总开关,“IP地址过滤”、“域名过滤”、“MAC地址过滤”等功能才能生效。在宽带路由器管理界面的左侧命令区,点击“安全设置→防火墙设置”,进入“防火墙设置”界面。
在管理界面右侧的设置框中选中“开启防火墙(防火墙的总开关)”和“开启IP地址过滤”选项,并保持IP地址过滤的缺省过滤规则--“凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器”,点击“保存”按钮后启用路由器的防火墙和IP地址过滤功能。
添加IP地址过滤条目
在宽带路由器管理界面的左侧命令区,点击“安全设置→IP地址过滤”,在右侧的设置框中点击“添加新条目”按钮,弹出“IP地址过滤”添加新条目对话框。
在添加“IP地址过滤”对话框中,输入“生效时间”和“局域网IP地址”范围,选择“通过”方式为“允许通过”,设置结果如图四所示。点击“保存”按钮返回“IP地址过滤”界面。
注意:完成路由器的设置操作后,必须重新启动路由器,否则会出现意想不到的错误。
远程控制指定访问
对每一个需要进行远程控制实验室的路由器,重复上述步骤的操作,开启路由器的远程控制功能,并完成“IP地址过滤”策略的设置。在第四步“添加IP地址过滤条目”时,“局域网IP地址”输入内容,必须是被管理实验室的IP地址范围。
注意:由于所有实验室的路由器都使用总控制室指定的一台计算机进行远程控制,所以必须修改每一个实验室路由器的默认地址(http://192.168.1.1/),并且IP地址不能重复。从安全的角度也应该修改路由器的默认地址。
完成以上操作后,我们就可以在总控制室中轻松控制指定实验室中计算机对Internet的访问方式。
当某一个实验室的计算机需要访问Internet时,只要在总控制室指定的计算机运行IE浏览器,登录该实验室路由器,进入“IP地址过滤”界面(图五),点击“使所有条目生效”按钮,这个实验室的计算机就可以访问Internet。
当禁止某一个实验室的计算机访问Internet时,只要在总控制室指定的计算机运行IE浏览器,登录该实验室路由器,进入“IP地址过滤”界面(图五),点击“使所有条目失效”按钮,这个实验室的计算机便无法访问Internet。
对于限制指定计算机不能上网的方法,除了上面介绍的“IP地址过滤”设置外,还可以通过“MAC地址过滤”、“数据包过滤”、“域名过滤”等方式实现。
©本站发布的所有内容,包括但不限于文字、图片、音频、视频、图表、标志、标识、广告、商标、商号、域名、软件、程序等,除特别标明外,均来源于网络或用户投稿,版权归原作者或原出处所有。我们致力于保护原作者版权,若涉及版权问题,请及时联系我们进行处理。
