为了安全起见,请通过 Linksys Web 界面执行这些操作(可能位于您网络上的 http://192.168.1.1)
更改您的管理密码。 2004 年 6 月 15 日,广泛报道称,关闭远程管理功能不起作用 —— 您仍然可以从无线端访问管理页面。此漏洞仍然存在于 2004 年 10 月的 2.02 固件中。这意味着如果您将密码保留为默认密码,任何脚本小子都可以闯入,窃取您的 WEP,并扰乱您的配置。Linksys 的人因这个失误获得了白痴奖章和橡叶饰带。
(我不知道此漏洞是否仍然存在于 3.x 固件中。最好检查一下。)
确保 DMZ 主机功能已禁用,位于 +-> 下,或在较新版本中)->。 默认情况下是关闭的。
端口转发特定服务,而不是设置 DMZ,并且尽可能少地设置这些服务。一个好的最小集合是 22 (ssh) 和 80 (http)。 如果您想接收邮件,请添加 25 (smtp)。 如果您需要提供 DNS 查询服务,请添加 53。 要提供 identd 服务,以便远程 MTA 可以验证您的身份,请启用 113。
禁用通用即插即用。 在 下查找。 “密码” 选项卡下有一个用于此的单选按钮; 较新的固件版本将其放在 + 下。 UPnP 是 Windows 中一个臭名昭著的安全漏洞,并且至少在 1.44 固件版本之前,有很多网络传言称 Linksys 的实现不稳定。 虽然这不会影响由 competent 人员编写的操作系统,但即使让来自一群脚本小子探测的流量到达您的网络也没有意义。
只有较旧的固件版本还需要两个步骤。 如果您有 2.x 或更高版本的固件,则可以忽略这些步骤。
禁用 AOL 家长控制。 确保 (在 下)已关闭(默认情况下是关闭的); 否则 Linksys 根本不会为您的 Unix 机器传递数据包。 较新版本的固件没有此错误功能。
禁用状态数据包检测。 如果您想运行服务器并且正在运行 1.42 或更早版本的固件,您还需要确保状态数据包检测已关闭 —— 此功能将传入数据包限制为与出站连接相关联的数据包,旨在增强仅客户端系统的安全性。 在 页面上,确保 SPI 处于关闭状态。 如果您没有看到 SPI 的单选按钮,请放心 —— 该功能并非在所有版本的固件中都存在,实际上在 1.43 中出于稳定性原因而被删除。