无线路由器安全配置.docx
《无线路由器安全配置.docx》由会员分享,可在线阅读,更多相关《无线路由器安全配置.docx(19页珍藏版)》请在冰点文库上搜索。
无线路由器安全配置
无线路由器安全配置
实验背景:
无线路由器除了拥有无线AP的功能外,还集成了宽带路由器的功能,因此可以实现小型网络的Internet连接共享。
当然,由于无线路由器位于网络的边缘,承受着更多的安全威胁,因此,除了可以采用无线AP的安全策略外,还可以采用更多的安全策略。
技能目标:
掌握无线路由器的IP地址过滤、域名过滤、MAC地址过滤
参考教材:
《网络安全管理实践(第2版)》
14.1.2无线路由器安全P483
实验设备环境:
笔记本电脑、双绞线、无线路由器(TP-LINKTL-WR340G+),如图1、图2、图3
图1
图2
图3
实验内容:
配置路由器,实现对内网机器在规定时间内访问Internet的管理。
仿真形式:
教学、实训、考核
脚本设计:
1.教学:
无线路由器介绍
1.1外观介绍
1.前面板
2.后面板
1)POWER:
用来连接电源,为路由器供电。
注意:
如果使用不匹配的电源,可能会导致路由器损坏。
2)QSS/RESET:
安全连接/复位按钮。
短按时,启动快速安全连接功能,可用来与具备WPS功能的网络设备快速建立安全连接;长按超过5秒钟时,可使设备恢复到出厂默认设置。
3)WAN:
广域网端口插孔(RJ45)。
该端口用来连接以太网电缆或xDSLModem/CableModem。
4)4/3/2/1:
局域网端口插孔(RJ45)。
该端口用来连接局域网中的集线器、交换机或安装了网卡的计算机。
1.2复位
如果要将路由器恢复到出厂默认设置,请在路由器通电的情况下,按压QSS/RESET按钮,同时观察系统状态指示灯,大约等待五秒钟,当系统状态指示灯由缓慢闪烁变为快速闪烁状态时,表示路由器已成功恢复出厂设置,此时松开QSS/RESET按钮,路由器将重启。
1.3硬件连接
安装时请拔除电源插头,保持双手干燥。
安装路由器步骤:
1.建立局域网连接
用网线将计算机直接连接到路由器LAN口,也可以将路由器的LAN口和局域网中的集线器或交换机通过网线相连,如下图所示。
1.4建立正确的网络设置
本路由器默认LAN口IP地址是192.168.1.1,默认子网掩码是255.255.255.0。
这些值可以根据实际需要而改变。
计算机连接路由器后将自动获取IP地址。
打开网页浏览器,在浏览器的地址栏中输入路由器的IP地址:
192.168.1.1,将会看到下图所示登录界面,输入用户名和密码(用户名和密码的出厂默认值均为admin),单击确定按钮。
2.安全配置
选择菜单安全设置,可以看到下图,单击某个子项,即可进行相应的功能设置,下面详细讲解各子项的功能。
2.1防火墙设置
选择菜单安全设置→防火墙设置,该界面控制路由器防火墙总功能的开启,以及各子项功能:
IP地址过滤、域名过滤和MAC地址过滤功能的开启和过滤规则。
只有防火墙的总开关开启后,后续的安全设置才能够生效,反之,则不能生效。
(建议在过滤规则设置完成后再开启防火墙总开关)
开启防火墙:
这是防火墙的总开关,只有该项开启后,IP地址过滤、域名过滤、MAC地址过滤功能才能启用,反之,则不能被启用。
开启IP地址过滤:
关闭或开启IP地址过滤功能并选择缺省过滤规则。
只有“开启防火墙”启用后,该项才能生效。
开启域名过滤:
关闭或开启域名过滤功能。
只有“开启防火墙”启用后,该项才能生效。
开启MAC地址过滤:
关闭或开启MAC地址过滤功能并选择缺省过滤规则。
只有“开启防火墙”启用后,该项才能生效。
完成设置后,点击保存按钮。
2.2IP地址过滤
选择菜单安全设置→IP地址过滤,可以在界面中查看并添加IP地址过滤条目。
使用IP地址过滤可以拒绝或允许局域网中计算机与互联网之间的通信。
可以拒绝或允许特定IP地址的特定的端口号或所有端口号。
可以利用按钮添加新条目来增加新的过滤规则,或者通过“修改”、“删除”链接来修改或删除已设过滤规则,甚至可以通过按钮移动来调整各条过滤规则的顺序,以达到不同的过滤优先级(ID序号越靠前则优先级越高)。
生效时间:
该项用来指定过滤条目的有效时间,在该段时间外,此过滤条目不起作用。
局域网IP地址:
局域网中被控制的计算机的IP地址,为空表示对局域网中所有计算机进行控制。
此处可以输入一个IP地址段,例如:
192.168.1.123-192.168.1.185。
(局域网)端口:
局域网中被控制的计算机的服务端口,为空表示对该计算机的所有服务端口进行控制。
此处可以输入一个端口段,例如:
1030-2000。
广域网IP地址:
广域网中被控制的计算机(如网站服务器)的IP地址,为空表示对整个广域网进行控制。
此处可以输入一个IP地址段,例如:
61.145.238.6-61.145.238.47。
(广域网)端口:
广域网中被控制的计算机(如网站服务器)的服务端口,为空表示对该网站所有服务端口进行控制。
此处可以输入一个端口段,例如:
25-110。
协议:
此处显示被控制的数据包所使用的协议。
通过:
该项显示符合本条目所设置的规则的数据包是否可以通过路由器,“是”表示允许该条目通过路由器,“否”表示不允许该条目通过路由器。
状态:
显示该条目状态“生效”或“失效”,只有状态为生效时,本条过滤规则才生效。
2.3域名过滤
选择菜单安全设置→域名过滤,可以在界面中查看并添加域名过滤条目。
域名过滤可以阻止LAN中所有计算机访问广域网(如互联网)上的特定域名,该特性会拒绝所有到特定域名如http和ftp的请求。
可以利用按钮添加新条目来增加新的过滤规则,或者通过“修改”、“删除”链接来修改或删除旧的过滤规则。
域名:
拒绝被LAN计算机访问的域名。
状态:
显示该条目状态“生效”或“失效”,只有状态为生效时,本条过滤规则才生效。
2.4MAC地址过滤
选择菜单安全设置→MAC地址过滤,可以在界面中查看并添加MAC地址过滤条目。
MAC地址过滤功能通过MAC地址允许或拒绝局域网中计算机访问广域网,有效控制局域网内用户的上网权限。
可以利用按钮添加新条目来增加新的过滤规则;或者通过“修改”、“删除”链接来修改或删除旧的过滤规则。
MAC地址:
该项是希望管理的计算机的MAC地址。
描述:
该项是对该计算机的适当描述。
状态:
显示该条目状态“生效”或“失效”,只有状态为生效时,本条过滤规则才生效。
2.5远端WEB管理
选择菜单安全设置→远端WEB管理。
远端WEB管理功能可以允许用户通过Web浏览器从广域网配置路由器。
本特性允许从远程主机执行管理任务。
您可以在下图5-37界面中设置管理IP地址和端口。
2.6高级安全设置
选择菜单安全设置→高级安全设置,可以在界面中开启DoS(拒绝服务)攻击防范。
DoS攻击的目的是用极大量的虚拟信息流耗尽目标主机的资源,受害者被迫全力处理虚假信息流,从而影响对正常信息流的处理。
如果DoS攻击始发自多个源地址,则称为分布式拒绝服务(DDoS)攻击。
通常DoS与DDoS攻击中的源地址都是欺骗性的。
2.实训:
无线路由器安全配置
1.初始界面(如硬件连接图)
界面呈现笔记本电脑、无线路由器、无线路由器电源、插座:
笔记本接有双绞线并已开机;
无线路由器没有接通电源。
2.鼠标拖拽无线路由器电源,正确连接插座与无线路由器,无线路由器电源指示灯点闪烁。
(绿色提示块)
3.鼠标拖拽双绞线的另一端,连接无线路由器4个LAN口(如图4)其中的一个。
连接后相应的端口指示灯闪烁。
如果接入LAN口,笔记本电脑任务栏右侧连接提示呈连接成功状态,并显示“成功获取IP地址”;如果接入WAN口,连接提示呈连接成功状态,但带有黄色惊叹号,并显示“未能成功获取IP地址”,如图4-1所示;如果无线路由器电源没有接通,提示连接呈断开状态
。
(是否提供图片)
图4
图4-1
4.利用屏幕上出现的旋转、放大路由器的提示查看路由器背面标签,旋转路由器并放大路由器背面,找到无线路由器的管理IP、用户名和密码(该三个数可动态修改)。
5.单击笔记本电脑,视角定位笔记本电脑显示器,电脑桌面上包含“我的文档、我的电脑、IE浏览器、回收站”等图标。
双击IE浏览器图标,最大化模式打开浏览器窗口。
在浏览器地址栏输入之前在背面标签上查找到的无线路由器管理IP地址,连接无线路由器。
连接成功,则显示图1-1所示界面。
未连接成功,屏幕显示“退出全屏”按钮,点击按钮退回前一个状态,检查无线路由器电源是否接好、双绞线是否连接在交换机的LAN口、所连接的LAN口是否有损坏。
图1-1
6.反复检查,直到出现图1-1界面。
输入之前查看到的用户名和密码,单击确定按钮,如果用户名和密码均正确,打开图5所示界面;如果用户名和密码有一个不正确,则提示“用户名或密码输入有误,请查实”。
7.进入路由器配置首页(如图5),单击“安全设置”展开安全设置目录,如图6左侧所示。
单击“防火墙设置”,显示如图6所示界面,在窗口中同时选中“开启防火墙”和“IP地址过滤”复选框,并在“缺少过滤规则”选项区域中选择一种过滤规则,单击“保存”按钮,保存所做设置。
如果先选中“IP地址过滤”复选框,显示提示信息“开启IP地址过滤,必须开启防火墙”。
图5
图6
8.单击左侧“安全设置”→“IP地址过滤”,显示“IP地址过滤”窗口(如图7),可以添加过滤规则。
图7
9.单击“添加新条目”按钮,显示如图8界面,设置如下选项,并显示提示信息“请根据实验任务设置下列选项!
”。
如禁止192.168.1.7的计算机在8:
30到18:
00之间发送邮件的设置,如图8-2所示配置。
所做设置跟实验要求比对,根据比对结果给分。
图8
图8-2
10.单击“保存”按钮保存设置,一条新规则添加完成。
返回8-1所示图片,即在图7上增加了刚刚添加的条目。
图8-1
11.单击“安全设置”→“防火墙设置”,显示如图9所示界面,在窗口中同时选中“开启防火墙”和“域名过滤”复选框,单击“保存”按钮。
如果先选中“域名过滤”复选框,显示提示信息“开启域名过滤,必须开启防火墙”;
图9
12.单击“安全设置”→“域名过滤”,显示“域名过滤”窗口(如图10);
图10
13.单击“添加新条目”按钮,显示图11所示界面,并显示提示信息“请根据实验任务在生效时间文本框中设置该规则的有效时间;在域名文本框中设置限制访问的网站域名!
”。
在输入“域名”时,显示提示信息“域名中不能带有http:
//、ftp:
//等格式的字符”。
是在8:
30到18:
00之间拒绝访问网站的设置,如图11-2所示。
图11
图11-2
14.单击“保存”按钮保存设置,一条新规则添加成功,返回图11-1所示界面。
图11-1
15.单击“安全设置”→“防火墙设置”,显示如图12所示界面,在窗口中同时选中“开启防火墙”和“MAC地址过滤”复选框,并在“缺少过滤规则”选项区域中选择一种过滤规则,单击“保存”按钮保存设置。
如果先选中“MAC地址过滤”复选框,显示提示信息“开启MAC地址过滤,必须开启防火墙”。
图12
16.单击“安全设置”→“MAC地址过滤”,显示“域名过滤”窗口(如图13);
图13
17.单击“添加新条目”按钮,显示图14所示界面,提示用户根据实验任务在“MAC地址”文本框中,键入计算机的MAC地址,在“描述”文本框中键入该计算机的描述信息,在“状态”下拉列表框中选择是否生效。
如禁止MAC地址为00-E0-4C-00-07-BE的计算机访问Internet的设置,如图14-2所示。
图14
图14-2
18.单击“保存”按钮保存设置,一条新规则添加完成,返回图14-1所示界面。
图14-1