1.路由器安全管理

1.1及时修复和更新程序IOS网络设备制造商通常会在自己的网站上使用网络设备IOS已知的安全漏洞和应采取的安全措施，要养成经常访问这些网站的好习惯，及时修复漏洞。

1.2定期审查和查看日志功能记录了大多数操作记录，包括所有被拒绝试图入侵的操作。使用路由器的日志功能对设备的安全非常重要。每个制造商的日志功能相似，如Cisco路由器支持以下日志：AAA日志(主要收集用户拨入连接、登录、HTTP访问、权限变更等信息)，SNMPTrap日志，系统日志。我们最应该关注的是系统日志，它记录了大量的系统事件，建议使用它。Syslog服务器，将路由器日志信息发送到Windows下的Syslog日志服务器长期保存，以便日后查看。我们还可以使用以下命令来检查路由器系统的运行情况：

1.3.防止无用数据流从互联网进入路由器的潜在风险是不可控的，我们可以使用一些方法来防止数据流。例如，在路由器的广域网接口上使用扩展ACL实现外部ICMP屏蔽报文回显可以防止黑客通过相关回显内容收集路由设备的相关信息，设置语句如下:此外，由于报文回显的屏蔽，黑客可以通过相关回显内容收集路由设备的相关信息CDP协议安全性能的薄弱性，如果是基于Cisco路由器作为边界路由器，绝对警告CDP。

1.(1)强化访问控制Enable，telnet等等，所有密码在设置时都要使用强密码策略，同时要启用Servicepassword-encryption命令。(2)关闭是基于关闭的。Web的配置使用Web路由设备的配置方便管理人员，但很容易绕过用户认证或被用户认证Dos攻击，所以应该禁止Web语句配置如下：Router(config)#noiphttpserver(3)控制远程访问和控制台访问VTY数据在网络传输过程中不加密，因此用于使用VTY最好禁止这种远程访问配置设备；对于通过远程访问配置设备的方式；Console口和AUX口来配置设备的控制台访问方式，一般我们会是AUX关闭，通过Console口可以配置设备，同时也要配置设备Console端口设置强密码，更安全。

1.5.关闭企业网络路由器中不必要的服务路由器中，每个开放端口都与听力服务有关。为了减少被攻击的可能性，必须关闭不必要的默认服务，相关命令如下：2.2.交换机安全保护交换机安全保护与路由器安全保护相似：维修程序和更新；控制交换机的管理和访问方式；关闭危险服务等。与路由器维护略有不同：（1）禁止交换机上未使用的物理端口，使用的物理端口应与计算机相同MAC地址绑定，特别是工作组环境下的网络。(2)使用VLAN技术将公司各部门划分为不同的虚拟子网，通过技术将公司各部门划分为不同的虚拟子网ACL来控制VLAN数据流之间，使用VLAN之间的ACL可直接保护企业内部的入侵。

2.计算机安全防护

(1)账户管理删除不必要且不再使用的账户，禁用Guest帐户，将Administrator账号改为其他名称，为用户所在的组设置相应的权限，启用账号策略，同时在组策略中为用户启用强密码策略。（2）共享文件的权限从"everyone"组改为授权用户；关闭系统中的默认共享，完全关闭默认共享。您可以修改注册表，打开注册表，找到以下主要关键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]，把AutoShareServer(DWORD)的键值改为"00000000"，重启系统，设置生效。(3)关闭不必要的服务和端口Windows在系统中，类似终端服务，IIS，RAS，RemoteRegistry在不影响安全工作的情况下，服务管理器应关闭可能给系统带来安全威胁的服务。在系统目录\system32\drivers\etc\services文件中有一个常见的端口和服务对照表。通过此参考，关闭不必要的端口以提高安全性。关闭端口的具体设置可以通过当地安全策略进行IP设置安全策略。(4)打开审计策略，在系统安全审计策略中将所有审计对象设置为"成功，失败"，当有人试图以某种方式入侵系统时，会被安全审计记录下来，这样就不会导致系统长时间没有被发现的尴尬现象。（5）默认情况下，任何用户都可以通过空连接连接到服务器，然后列出帐户，猜测密码。可以通过修改注册表来防止这种危险的发生，我们只需要把注册表中的注册表中的注册表中，Local_Machine\System\CurrentControlSet\Control\LSA_RestrictAnony-mous的值改为"1"即可。（6）自动播放功能对计算机的危害也很大。我们应该理解，熟悉组策略，充分利用组策略禁止类似的组策略"自动播放功能"一些不必要的功能可能威胁到计算机安全。(7)USB口绑定USB口是计算机信息导入和导出的主要途径之一。为了防止企业计算机中使用任何U盘，从而威胁计算机和计算机中的信息，我们必须做好计算机工作USB绑定口。USB可通过北信源安全管理系统、中孚计算机终端安全管理系统等专用软件实现口绑定。(8)使用MBSA扫描系统漏洞微软基线安全分析器MBSA(MicrosoftBaselineSecurityAnalyzer)它是微软提供的操作系统漏洞扫描软件，我们可以利用它对操作系统漏洞进行扫描。Windows本地或远程扫描各种操作系统，及时发现漏洞并堵塞，以提高计算机的安全性。

企业计算机网络安全的重要性不言而喻，必须加强学习和研究。网络安全的内容覆盖面很大，分支也很多，可以从不同的角度讨论[3]。路由器、交换机、计算机和通信线路是企业计算机网络的骨架。有必要从技术方面研究企业网络的安全性，如使用NTFS为了提高信息安全，文件系统自身的加密功能、通信线路的电磁泄漏问题、RAID磁盘阵列等，这些方面可以得到充分的利用，对提高企业网络的安全性非常重要。