暂无介绍
万物都是相对的,但我对你的心是绝对的。
路由器配置前我们要知道路由器是信息网络中实现网络互联的关键设备它将不同网络或网段之间的数据信息进行翻译以实现网络互联和资源共享下面就来看路由器的快速配置方法
路由器同计算机及其他网络设备一样自身也存在一些缺陷和漏洞利用路由器自身缺点进行网络攻击是黑客常用的手段因此我们必须在堵住路由器安全漏洞上采取必要的措施限制系统物理访问是最有效的方法之一它是将控制台和终端会话路由器配置成在较短闲置时间后自动退出系统以堵住路由器的安全漏洞保护整个网络的安全此外应避免将调制解调器连接到路由器的辅助端口
黑客常常利用弱口令或默认口令进行攻击加长口令有助于防御这类攻击当网络管理人员调离或退出本岗位时应立即更换口令另外还应启用路由器的口令加密功能在大多数的路由器上可以路由器配置一些协议如远程验证拨入用户服务结合验证服务器提供经过加密验证的路由器访问以加强路由器的安全系数提高整个网络的安全性
限制逻辑访问主要是借助于合理处置访问控制列表限制远程终端会话有助于防止黑客获得系统逻辑访问SSH是优先的逻辑访问方法但如果无法避免TELNET不妨使用终端访问控制以限制只能访问可信主机因此需要给TELNET在路由器上使用的虚拟终端端口添加一份访问列表
控制消息协议ICMP有助于排除故障但也为攻击者提供了用来浏览网络设备确定时间戳和网络掩码以及对OS修正版本作出推测的信息为了防止黑客搜集上述信息只允许以下类型的ICMP流量进入网络:ICMP网无法到达的主机无法到达的端口无法到达的包太大的源抑制的以及超出生存时间TTL的此外逻辑访问控制还应禁止ICMP流量以外的所有流量
使用入站访问控制可将特定服务器引导至对应的服务器例如只允许SMTP流量进入邮件服务器;DNS流量进入DNS服务器;通过安全套接协议层SSL的HTTPHTTPS流量进入WEB服务器为了避免路由器成为DoS攻击目标应拒绝以下流量进入:没有IP地址的包采用本地主机地址广播地址多播地址以及任何假冒的内部地址的包还可以采取增加SYM ACK队列长度缩短ACK超时等措施来保护路由器免受TCP SYN攻击
在对路由器配置进行改动时需要对其进行监控如果使用了SNMP则一定要选择功能强大的共用字符串最好是使用提供消息加密功能的 SNMP如果不通过SNMP管理而对设备进行远程路由器配置最好将SNMP设备路由器配置成只读拒绝对这些设备进行写访问这样能防止黑客改动或关闭接口此外还要将系统日志信息从路由器发送至指定服务器同时为进一步确保安全管理还可使用SSH等加密机制利用SSH与路由器建立加密的远程会话
配置管理的一个重要部分就是确保网络使用合理的路由器协议避免使用路由信息协议RIP因为RIP很容易被欺骗而接受不合法的路由更新所以必须实施控制存放检索及更新路由器配置以便在新配置出现问题时能更换重装或恢复到原先的路由器配置
另外还可以通过两种方法将配置文档存放在支持命令行接口CLT的路由器平台上一种是运行脚本脚本能在路由器配置服务器到路由器之间建立SSH会话登录系统关闭控制器日志功能显示配置保存路由器配置到本地文件以及退出系统另一种是在路由器配置服务器到路由器之间建立IPSEC遂道通过该安全遂道内的TFTP将路由器配置文件拷贝到服务器同时还应明确哪些人员可以更改路由器配置何时进行更改以及如何进行更改在进行任何更改之前制定详细的逆序操作规程