淺議路由器安全配置和安全維護(hù)

1、淺議路由器安全配置和安全維護(hù)摘要：近年來，隨著電子計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù) 的發(fā)展，互聯(lián)網(wǎng)的應(yīng)用已普及世界各地，但是，隨之而來的 網(wǎng)絡(luò)安全問題也日益凸顯。路由器能夠?qū)σ欢▍^(qū)域內(nèi)的網(wǎng)絡(luò) 進(jìn)行連接，能為網(wǎng)絡(luò)信息和數(shù)據(jù)的傳輸提供一定的路徑，是 網(wǎng)絡(luò)應(yīng)用中的重要設(shè)備，在互聯(lián)網(wǎng)中的作用是不可替代的。 文章介紹了路由器工作的原理，并對其安全配置和安全維護(hù) 進(jìn)行了探討分析。關(guān)鍵詞：路由器；安全配置；安全維護(hù)中圖分類號：tn915. 05文獻(xiàn)標(biāo)識碼：a文章編號： 1006-8937 (2013) 11-0077-02隨著網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在我國 甚至是在世界各地都得到了廣泛和深入的應(yīng)用，在此期

2、間， 網(wǎng)絡(luò)安全問題越來越突出。路由器作為網(wǎng)絡(luò)應(yīng)用中的重要設(shè) 備，擔(dān)任著網(wǎng)絡(luò)信息的接收和傳輸，其設(shè)置和維護(hù)安全與否 直接影響著整個(gè)網(wǎng)絡(luò)的安全，因此，想要確保整個(gè)網(wǎng)絡(luò)設(shè)置 的安全，首先就要確保路由器的安全，這個(gè)時(shí)候，選擇合適 的路由器，并做好路由器的安全配置和維護(hù)工作就顯得非常 重要了。1路由器的工作原理路由器作為網(wǎng)絡(luò)中信息流和數(shù)據(jù)分組選擇的路由設(shè)備， 主要是用來連接多個(gè)不同邏輯的網(wǎng)絡(luò)的，能夠在網(wǎng)絡(luò)層實(shí)現(xiàn) 兩個(gè)子網(wǎng)之間的數(shù)據(jù)的轉(zhuǎn)發(fā)和傳輸，且能夠?qū)λ鶄鬏敂?shù)據(jù)的 地址進(jìn)行判斷，并對傳輸?shù)刂返膫鬏斅窂竭M(jìn)行選擇，這樣， 網(wǎng)絡(luò)的連接方式就可以在路由器設(shè)置的多種不同互聯(lián)網(wǎng)環(huán) 境的基礎(chǔ)上創(chuàng)建起來，且創(chuàng)建方法靈活

3、、簡便、快速。路由 器還具有分類傳輸信息和數(shù)據(jù)的作用，并為這些數(shù)據(jù)尋找最 佳的傳輸路徑，能夠?yàn)閿?shù)據(jù)傳送內(nèi)容的有效性、可靠性提供 保障。數(shù)據(jù)傳輸?shù)倪^程中，必須通過路由器擁有控制平面上 的路由協(xié)議，只有這樣，數(shù)據(jù)才能按照拓?fù)浣Y(jié)構(gòu)自動(dòng)生成路 由表，并自動(dòng)保存，這些數(shù)據(jù)能夠根據(jù)系統(tǒng)自行修改，供路 由器傳輸數(shù)據(jù)時(shí)使用，極大方便了路由器的傳輸，提高了其 傳輸過程的自由性。2路由器的安全配置和安全維護(hù)2.1路由器的安全配置 路由協(xié)議。禁止app服務(wù)，因?yàn)檫@項(xiàng)服務(wù)能夠引起路 由表的混亂；對rip服務(wù)進(jìn)行啟用，從而對rip進(jìn)行認(rèn)證； 對md5進(jìn)行啟用，并設(shè)置訪問權(quán)限密碼;建議啟動(dòng)ospf； ipath 可以對i

4、p地址的準(zhǔn)確性進(jìn)行判斷和檢查，建議啟用ipat比 啟用訪問列表，利用訪問列表過濾垃圾信息或惡意信息，從 而將垃圾信息量控制在一定范圍內(nèi)。 網(wǎng)絡(luò)服務(wù)。路由器擁有眾多的服務(wù)項(xiàng)目，所以其服務(wù) 功能非常強(qiáng)大，但是繁瑣多樣的服務(wù)項(xiàng)也導(dǎo)致路由器服務(wù)的 安全問題日益凸顯，因此，有些服務(wù)項(xiàng)是可以禁止的，特別 是路由器上的cdp必須禁用，否則路由器的使用性能將會(huì)大 大受到影響。很多用戶使用網(wǎng)絡(luò)的時(shí)間大都不一樣，這就需 要考慮用戶使用網(wǎng)絡(luò)的時(shí)間同步，用戶可以采用路由器網(wǎng)絡(luò) 服務(wù)中的時(shí)間服務(wù)協(xié)議來做到網(wǎng)絡(luò)設(shè)備上時(shí)間的同步。用戶 所使用的服務(wù)項(xiàng)并不多，這就需要對一些服務(wù)項(xiàng)進(jìn)行禁止， 比如，可禁止snmp和dhcp服務(wù)

5、，這兩個(gè)服務(wù)項(xiàng)在必要的時(shí) 候可使用；禁止cdp；禁止http服務(wù)；禁止ip資源路徑， arp在不使用的時(shí)候也可以禁止；禁止icmp協(xié)議等。 訪問控制。對于路由器訪問控制的安全設(shè)置做法包括 以下幾個(gè)方面：網(wǎng)絡(luò)管理員大都可以對路由器進(jìn)行訪問，所 以要嚴(yán)格控制網(wǎng)絡(luò)管理員，對于路由器的維護(hù)，網(wǎng)絡(luò)管理員 必須認(rèn)真做好相關(guān)數(shù)據(jù)的記錄；設(shè)置訪問權(quán)限，將訪問權(quán)限 進(jìn)行分級，控制遠(yuǎn)程訪問、con端口訪問、特權(quán)模式訪問、 虛擬終端訪問等，特別是虛擬終端的訪問，一般，虛擬終端 線路啟用后并不能直接使用，必須對其進(jìn)行配置才允許用戶 登陸，由于虛擬終端在網(wǎng)絡(luò)的傳輸過程中是不加密的，所以 對其控制除了要進(jìn)行登陸密碼設(shè)置外

6、，還要對其連接時(shí)候所 傳輸?shù)臄?shù)據(jù)數(shù)量進(jìn)行控制，并對其訪問地址進(jìn)行嚴(yán)格的控 制；如果不使用異步端口，要將這個(gè)端口默認(rèn)為被啟用，禁 止使用。 防止攻擊和病毒。對于tcpsyn的防范可通過tcp；禁 止icmp相關(guān)協(xié)議和trace路線命令的探查，可允許echo命 令的使用；控制nachi蠕蟲，控制blaster蠕蟲的傳播和攻 擊，對于可能存在的漏洞要及時(shí)關(guān)閉。2.2路由器的安全維護(hù) 監(jiān)控配置的更改。對路由器的監(jiān)控配置進(jìn)行更改，更 改后，還要對路由器進(jìn)行實(shí)時(shí)監(jiān)控，如果網(wǎng)絡(luò)用戶使用的是 snmp,最好使用能夠提供消息加密功能的snmp管理，如果 路由器的配置不是通過snmp管理進(jìn)行的，必須將設(shè)備設(shè)置 成

7、只讀模式。同時(shí)，用戶必須阻斷對這些設(shè)備的寫訪問，只 有這樣才能夠防止入侵者惡意改動(dòng)其設(shè)備或網(wǎng)絡(luò)接口。為了 進(jìn)一步提高系統(tǒng)的安全管理，用戶還可以運(yùn)用ssh進(jìn)行管理, 建立起與路由器之間的會(huì)話。 避免口令的泄露。黑客攻擊網(wǎng)絡(luò)常常是利用薄弱的口 令來進(jìn)行的，據(jù)調(diào)查，有八成的網(wǎng)絡(luò)安全事件的發(fā)生是由薄 弱口令引起的，這就要求用戶采取加長口令、3060d的口 令有效期等措施防止黑客的攻擊。除了采取上述措施，用戶 還可以啟用口令上的加密功能對口令進(jìn)行加密。 邏輯訪問的限制。限制邏輯訪問可通過對訪問列表進(jìn) 行控制的手段來實(shí)現(xiàn)，當(dāng)用戶登錄到路由器上訪問的時(shí)候， 一些配備的信息就會(huì)留在路由器上，這些信息并不會(huì)在第

8、一 時(shí)間就消失，這就為黑客入侵提供了條件。對訪問列表的控 制，可在路由器上添加訪問列表，并在訪問列表上設(shè)置特定 的物理地址，防止其他地址對路由器的訪問，另外，必須對 消息協(xié)議的流量的種類進(jìn)行控制，還要對路由器的配備信息 進(jìn)行控制，將超出路由器訪問量的信息列為無效信息。 進(jìn)行配置管理。對路由器的配置管理中，最重要的一 個(gè)方面就是確保網(wǎng)絡(luò)的使用有合理的路由協(xié)議，避免使用路 由信息協(xié)議。用戶要對路由器進(jìn)行實(shí)時(shí)的管理，并將配置的 備份文件保存在安全的服務(wù)器上，從而防止更換或重裝系統(tǒng) 時(shí)候重新配置的情況發(fā)生。用戶要對路由器的管理者、路由 器的更改的時(shí)間和更改的內(nèi)容有一定的了解，這樣，無論什 么時(shí)候進(jìn)行更改，在進(jìn)行更改前都能預(yù)先制定詳細(xì)的操作步 驟和規(guī)程。3結(jié)語總之，路由器是網(wǎng)絡(luò)應(yīng)用中的重要設(shè)備，可以說，路由 器是網(wǎng)絡(luò)信息數(shù)據(jù)接受和傳輸?shù)臉蛄?，路由器的安全性的?低直接影響著網(wǎng)絡(luò)的安全。因此，必須根據(jù)網(wǎng)絡(luò)特點(diǎn)，合理 的選擇路由器，并做好路由器的安全配置和維護(hù)工作，只有 這樣才能保證整個(gè)網(wǎng)絡(luò)的安全、可靠的運(yùn)行，網(wǎng)絡(luò)在各行各 業(yè)中的作用才能得到充分的發(fā)揮。參考文獻(xiàn)：