 |
| 圖24-9 MAC地址控制設置 |
如果客戶端1嘗試使用192.168.123.100之外的IP地址,它將被拒絕接入路由器。同樣,如果網卡MAC地址不在MAC地址列表中的時候,這些客戶端計算機都會被拒絕接入路由器。
(6)確定數據包過濾的需求。確定數據包過濾實際上就是封鎖端口,而合適的封閉端口對于提升局域網的安全有著極大的作用。對于高度安全的網絡來說,特別是在存儲或者保持秘密數據的時候,通常要求經過允許才可以過濾。在這種規定中,除了網路功能需要的之外,所有的端口和IP地址都必須要封鎖。例如,用于Web通信的端口80和用于SMTP的110/25端口之外,所有其他的端口和地址都可以關閉。
大多數路由器都通過使用“按拒絕請求實施過濾”的方案來增強整個局域網的安全性,當使用這種過濾方法時,可以封鎖局域網沒有使用的端口、特洛伊木馬或者偵查活動常用的端口來增強網絡的安全性。例如,封鎖139端口和445(TCP和UDP)端口將使黑客更難對網絡實施窮舉攻擊;封鎖31337(TCP和UDP)端口將使Back Orifice木馬程序更難攻擊網絡。
如圖24-10所示,在路由器管理窗口中依次單擊“安全設置→報文過濾”鏈接,并且選中“拒絕所有數據包通過,匹配以下條件的數據包除外”選項,接著分別設置80、110和25這3個常用端口,這樣除非進行瀏覽網頁或者收發電子郵件的操作,其余的網絡操作都將會給路由器自動過濾,從而大大提升了內部網絡計算機的安全。
 |
| 圖24-10 數據包過濾 |
