网络安全导论 实验12A 无线路由器的安全设置

实验12A无线路由器的安全设置实验目的熟悉防火墙的工作原理。掌握TP-LinkTL-WR340G+无线路由器的访问控制功能和配置方法。3．了解天网、瑞星、思科等防火墙的特点和使用方法。二、实验准备1．防火墙目前的主流产品主要有CiscoSecurePIX防火墙、华为3ComQuidway®SecPath系列防火墙、天融信NGFW4000系列防火墙、CheckpointFire-wall-1和SonicWallSonicWall。这些产品的配置与使用大同小异。对其配置一般通过三种方式进行：本地控制台端口、远程Telnet和SSH。防火墙的配置原则是简单实用、全面深入、内外兼顾。2．无线路由器是WiFi无线局域网的基础，目前大多数主流产品都直接具备宽带网接入功能，并集成多个RJ45有线网络端口，非常适合家庭用户以及中小型办公用户。不同品牌型号的无线路由器的技术参数也不相同，需要参阅厂商的技术资料。请读者查阅资料，了解TP-LinkTL-WR340G+无线路由器的特点。3．如图7-9所示，TP-LinkTL-WR340G+无线路由器的安全设置包括防火墙设置、IP地址过滤、域名过滤、MAC地址过滤、远端WEB管理、高级安全设置等内容。图7-9TP-LinkTL-WR340G+无线路由器的安全设置4．查找有关资料，了解思科各型号防火墙的使用方法。三、实验内容1．配置无线路由器连接无线路由器，打开Web浏览器，在地址栏中输入无线路由器的地址，此时系统会要求输入登录密码。一般而言，该密码可以在产品的说明书上查询到。对于一个新的没有设置过的路由器，会出现设置向导，我们可以选定宽带网的类型，如果无线路由器还需要连接100/10M有线网络，那么我们还需要进行进一步设置IP/DHCP，一旦用户的有线网卡和无线网卡的TCP/IP属性设置成自动获得IP地址，就能由无线路由器处得到一个IP地址了。2．配置无线客户端对于WIFI网络而言，客户端的配置异常简单，在控制面板的网络属性中打开无线网卡的TCP/IP属性，然后将IP地址设定为自动，并禁用DNS与网关，此时无线网卡可以自动分配到IP地址，并接入Internet。必须保证与无线路由器的ESSID值完全相同（包含字母大小写），只有在完全相同的前提下才能让无线网卡访问无线路由器，这也是保证无线网络安全的重要措施之一。不同无线网卡设置ESSID的地方不尽相同，有些是在控制面板中，有些通过网卡专用的应用程序，具体可以参阅说明书。一般相同品牌的无线路由器与无线网卡采用相同的ESSID默认值，无需设置即可使用，但这样会带来一些安全隐患，建议更换ESSID值。3．IP地址过滤通过数据包过滤功能可以控制局域网中计算机对互联网上某些网站的访问。具体配置条目如下。生效时间：本条规则生效的起始时间和终止时间。时间请按hhmm格式输入。局域网IP地址：局域网中被控制的计算机的IP地址，为空表示对局域网中所有计算机进行控制。也可以输入一个IP地址段。局域网端口：局域网中被控制的计算机的服务端口，为空表示对该计算机的所有服务端口进行控制。也可以输入一个端口段。广域网IP地址：广域网中被控制的网站的IP地址，为空表示对整个广域网进行控制。也可以输入一个IP地址段。广域网端口：广域网中被控制的网站的服务端口，为空表示对该网站所有服务端口进行控制。您也可以输入一个端口段。协议：被控制的数据包所使用的协议。通过：当选择“允许通过”时，符合本条目所设置的规则的数据包可以通过路由器，否则该数据包将不能通过路由器。状态：只有选择“生效”后本条目所设置的规则才能生效。4．域名过滤使用域名过滤功能可用来指定不能访问哪些网站。生效时间、状态的配置同3。域名：被过滤的网站的域名或域名的一部分，为空表示禁止访问所有网站。如果在此处填入某一个字符串（不区分大小写），则局域网中的计算机将不能访问所有域名中含有该字符串的网站。5．MAC地址过滤可以通过MAC地址过滤功能来控制局域网中计算机对Internet的访问。6．远端WEB管理可用来设置路由器的WEB管理端口和广域网中可以执行远端WEB管理的计算机的IP地址。其中WEB管理端口可以执行WEB管理的端口号。7．高级安全设置包括数据包统计时间间隔和DoS攻击防范等的设置。数据包统计时间间隔：对当前这段时间里的数据进行统计，如果统计得到的某种数据包（例如UDPFLOOD）达到了指定的阈值，那么系统将认为UDP-FLOOD攻击已经发生，如果UDP-FLOOD过滤已经开启，那么路由器将会停止接收该类型的数据包,从而达到防范攻击的目的。DoS攻击防范：这是开启后面几种防范措施的总开关，只有选择此项后，才能使几种防范措施才能生效。四、实验报告1．通过实验回答下列问题（1）TP-LinkTL-WR340G+无线路由器的默认IP地址是什么？（2）简述为家庭ADSL用户配置无线路由器的配置过程。1、连接无线路由器，打开Web浏览器，在地址栏中输入无线路由器的地址2、输入登录密码（TP-Link默认为admin）3、配置路由器信息：wifi名称及密码4、配置网络信息（3）如果不想在上班时间让使用某一TP-LinkTL-WR340G+无线路由器的用户登录QQ游戏网站，应当如何设置？1、在TP-Link无线路由器的管理界面点击“安全设置”---->“域名过滤”---->在右侧弹出的界面中点击“添加新条目”。2、在“域名”后填写“”---->“状态”后面选择“生效”---->“保存”。2．问答题简述iptables防火墙的包过滤过程。1、当一个数据包进入网卡时，数据包首先进入PREROUTING链，在PREROUTING链中我们有机会修改数据包的DestIP(目的IP)，然后内核的"路由模块"根据"数据包目的IP"以及"内核中的路由表"判断是否需要转送出去(注意，这个时候数据包的DestIP有可能已经被我们修改过了)2、如果数据包就是进入本机的(即数据包的目的IP是本机的网口IP)，数据包就会沿着图向下移动，到达INPUT链。数据包到达INPUT链后，任何进程都会-收到它3、本机上运行的程序也可以发送数据包，这些数据包经过OUTPUT链，然后到达POSTROTING链输出(注意，这个时候数据包的SrcIP有可能已经被我们修改过了)4、如果数据包是要转发出去的(即目的IP地址不再当前子网中)，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出(选择对应子网的网口发送出去)Windows自带防火墙是否具有日志功能？具有日志文件，默认路径为%systemroot%\system32\LogFiles\Firewall\pfirewall.log具体