我有一个连接到互联网的路由器。
我们通过 LAN 和 WAN 连接到该路由器。WAN
设置已启用,路由器用户/密码已启用,路由器访问已使用 WPA/WPA-2 保护。
我想让一些计算机连接到路由器(LAN 或 WAN),并受到外界保护。
最好的方法是什么?
必须关闭计算机防火墙。
路由器防火墙已打开,它是便宜的典型 TP Link 路由器 - TL-WR741N / TL-WR741ND。
这些设置足够吗?在路由器上设置防火墙,或者我可以阻止传入到某些 ip 的流量 - 我想在网络内部使用的计算机的 ip,这样外部的计算机就无法破解它们。
答案1
您的防火墙/路由器默认会阻止传入流量,仅允许由内部 LAN 端发起的传出流量。确保防火墙已打开。尤其是如果这是通往互联网的最终路线。
因此,外部发起的传入连接应默认被丢弃,但您可以在此处对 WAN 公共 IP 地址进行完整端口扫描:http://www.hackerwatch.org/probe/
这应该可以帮助您判断是否有任何东西开放。
还有其他步骤,例如确保路由器上用于管理目的的 WAN IP 不可访问(以防止黑客尝试对其进行外部访问),以及使用安全密码而不是默认密码。确保它采用最新固件,并询问 TP Link 是否存在针对该路由器的已知漏洞。
这绝不是万无一失的,如果您更改任何内容或允许 VPN、托管应用程序(如网站/电子邮件)等的入站端口访问,则需要彻底检查您的安全性。
如果您非常担心或者这对管理层来说是一件大事,请考虑不时聘请一家小公司进行渗透测试和安全评估。
最后,放松...你可能是一家小店,所以不要疯狂地尝试创建各种层次和定制。制定让你和管理层感到舒适的方法,但不要太过严苛以致人们无法工作。
答案2
默认情况下,防火墙会阻止来自防火墙外部的所有传入流量。我从未见过防火墙不默认这样做。如果你的防火墙默认不这样做,我会感到非常惊讶。话虽如此,我认为你不需要做任何其他事情,只需启用防火墙。如果它已经启用,那么你应该一切就绪了。为了确认这一点,你可以对防火墙的公共 IP 地址运行外部端口扫描以测试开放端口。
答案3
看起来您的路由器使用了 NAT。这已经为您提供了一点安全性,因为无需防火墙即可使您的网络对外部连接关闭。正如其他人所建议的那样,端口扫描确实可以证实这一点。如果您的网络中没有托管服务器,或者更确切地说,没有托管任何需要从外部访问的服务,您可以假设 NAT 提供的类似防火墙的功能足以提供基本的安全性。
其他措施与用户的行为更相关。根据他们访问的网站和他们的一般互联网活动,您的网络可能或多或少是安全的。如果您不信任网络中的用户,您可以考虑设置更多限制。这意味着使用防火墙来阻止他们访问特定协议或站点。在这种情况下,您可能需要查看此页面:http://www.tp-link.com/en/support/faq/?pcid=201&problem=6&m=TL-WR941ND&keywords=&faqid=