時間:2013-02-27 來源:武漢網whw.cc 作者:whw.cc 我要糾錯
路由器是局域網連接外部網絡的重要橋梁,是網絡系統中不可或缺的重要部件,也是網絡安全的前沿關口。然而路由器的保護卻很少被大家所器重。試想文件夾加密,如果路由器連本身的安全都沒有保障,整個網絡也就毫無安全可 ...
路由器是局域網銜接外部網絡的主要橋梁,是網絡體系中不可或缺的主要部件,也是網絡平安的前沿關口。然而路由器的保護卻很少被大家所看重。試想,如果路由器連本身的安全都不保障,全部網絡也就毫無安全可言。
因而在網絡安全管理上,必需對路由器進行公道計劃、配置,采用必要的安全掩護辦法,防止因路由器自身的安全問題而給整個網絡系統帶來破綻和危險。我們下面就給大家先容一些增強路由器安全的措施和方式,讓我們的網絡更安全。
1. 為路由器間的協議交流增添認證功能,進步網絡安全性。
路由器的一個重要功效是路由的管理和維護,目前具備必定范圍的網絡都采取動態的路由協議,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。當一臺設置了雷同路由協定和雷同區域標示符的路由器參加網絡后,會學習網絡上的路由信息表。
但此種辦法可能導致網絡拓撲信息泄露,也可能因為向網絡發送本人的路由信息表,搗亂網絡上畸形工作的路由信息表,重大時可以使整個網絡癱瘓。這個問題的解決措施是對網絡內的路由器之間彼此交換的路由信息進行認證。當路由器配置了認證方法,就會辨別路由信息的收發方。
2. 路由器的物理安全防備。
路由器把持端口是存在特別權限的端口,如果攻擊者物理接觸路由器后,斷電重啟,實行“密碼修復流程”,進而登錄路由器,就能夠完整節制路由器。
3. 維護路由器口令。
在備份的路由器配置文件中,密碼即便是用加密的情勢寄存,密碼明文仍存在被破解的可能。一旦密碼泄露,網絡也就毫無安全可言。
4. 阻攔觀察路由器診斷信息。
關閉命令如下: no service tcp-small-servers no service udp-small-servers
5. 禁止查看到路由器當前的用戶列表。
關閉命令為:no service finger。
6. 關閉CDP服務。
在OSI二層協定即鏈路層的基本上可發明對端路由器的局部配相信息: 設備平臺、操作體系版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable封閉這個服務。
7. 禁止路由器接受帶源路由標志的包,將帶有源路由選項的數據流拋棄。
“IP source-route”是一個全局配置命令,答應路由器處置帶源路由選項標志的數據流加密。啟用源路由選項后,源路由信息指定的路由使數據流可能超出默認的路由,這種包就可能繞過防火墻。關閉命令如下: no ip source-route。
8. 封閉路由器播送包的轉發。
Sumrf D.o.S攻擊以有廣播轉發配置的路由器作為反射板,占用網絡資源,甚至造成網絡的癱瘓。應在每個端口運用“no ip directed-broadcast”關閉路由器廣播包。
9. 治理HTTP服務。
HTTP服務供給Web治理接口。“no ip http server”可以結束HTTP服務。如果必需使用HTTP,必定要使用訪問列表“ip http access-class”命令,嚴厲過濾許可的IP地址,同時用“ip http authentication ”命令設定受權限度。
10. 抵抗spoofing(詐騙) 類攻擊。
應用訪問掌握列表,過濾掉所有目的地址為網絡播送地址跟聲稱來自內部網絡,實際卻來自外部的包。 在路由器端口配置: ip access-group list in number 拜訪把持列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255文件加密.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令將過濾BOOTP/DHCP 利用中的部門數據包,在相似環境中使用時要有充足的意識。
11. 避免包嗅探。
黑客常常將嗅探軟件裝置在已經侵入的網絡上的盤算機內,監視網絡數據流,從而偷盜密碼,包含SNMP 通訊密碼,也包含路由器的登錄和特權密碼,這樣網絡管理員難以保障網絡的安全性。在不可托任的網絡上不要用非加密協議登錄路由器。如果路由器支撐加密協議,請使用SSH 或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
12.校驗數據流路徑的正當性。
應用RPF (reverse path forwarding)反相門路轉發,因為攻打者地址是守法的,所以襲擊包被拋棄,從而到達抵抗spoofing 攻打的目標。RPF反相門路轉發的配置命令為: ip verify unicast rpf。 留神: 首先要支撐 CEF(Cisco Express Forwarding) 疾速轉發。
13. 避免SYN 襲擊。
目前,一些路由器的軟件平臺能夠開啟TCP 攔阻功效,預防SYN 攻擊,工作模式分攔截跟監督兩種,默認情形是攔阻模式。(攔截模式: 路由器響應達到的SYN懇求,并且取代服務器發送一個SYN-ACK報文,而后等候客戶機ACK。假如收到ACK,再將本來的SYN報文發送到服務器; 監督模式:路由器容許SYN要求直接達到服務器,如果這個會話在30秒內不樹立起來,路由器就會發送一個RST,以肅清這個銜接。) 首先,配置拜訪列表,以備開啟需要維護的IP地址: access list [1-199] [deny permit] tcp any destination destination-wildcard 而后,開啟TCP攔截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
14. 使用安全的SNMP管理計劃。
SNMP普遍利用在路由器的監控、配置方面。SNMP Version 1在穿梭公網的管理當用方面,安全性低,不合適使用。應用訪問列表僅僅容許來自特定工作站的SNMP訪問通過這一功能可以來晉升SNMP服務的安全機能。配置命令: snmp-server community xxxxx RW xx ;xx是訪問節制列表號 SNMP Version 2使用MD5數字身份辨別方法。不同的路由器設備配置不同的數字簽名密碼,這是進步整體安全機能的有效手腕。
綜述:
路由器作為全部網絡的要害性裝備,保險問題是須要咱們特殊器重。當然,假如僅僅是靠上面的這些設置方式,來掩護咱們的網絡是遠遠不夠的,還須要配合其余的裝備來一起做好保險防備辦法,將我們的網絡打造成為一個平安穩固的信息交換平臺。
本文由http://www.cksis***/整理并發布!
標簽:
|
|
|
|
|
|
|
|
虛擬手機號碼 香港辦公室租金 酒店vi設計 愛幸福 NBA直播 絲摩網 幣安下載
