路由器安全设置全接触

    
    使用入站访问控制将特定服务引导至对应的服务器。例如，只允许SMTP流量进入邮件服务器；DNS流量进入DSN服务器；通过安全套接协议层（SSL）的HTTP（HTTP/S）流量进入Web服务器。为了避免路由器成为DoS攻击目标，用户应该拒绝以下流量进入：没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击，但用户可以限制DoS的危害。用户可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护酚善髅馐躎CP SYN攻击。用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量，只允许有效的源地址包离开网络。这有助于防止IP地址欺骗，减小黑客利用用户系统攻击另一站点的可能性。

    监控配置更改

    用户在对路由器配置进行改动之后，需要对其进行监控。如果用户使用SNMP，那么一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的 SNMP。如果不通过SNMP管理对设备进行远程配置，用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问，用户就能防止黑客改动或关闭接口。此外，用户还需将系统日志消息从路由器发送至指定服务器。

    为进一步确保安全管理，用户可以使用SSH等加密机制，利用SSH与路由器建立加密的远程会话。为了加强保护，用户还应该限制SSH会话协商，只允许会话用于同用户经常使用的几个可信系统进行通信。

    配置管理的一个重要部分就是确保网络使用合理的路由协议。避免使用路由信息协议（RIP），RIP很容易被欺骗而接受不合法的路由更新。用户可以配置边界网关协议（BGP）和开放最短路径优先协议（OSPF）等协议，以便在接受路由更新之前，通过发送口令的MD5散列，使用口令验证对方。以上措施有助于确保系统接受的任何路由更新都是正确的。

    实施配置管理

    用户应该实施控制存放、检索及更新路由器配置的配置管理策略，并将配置备份文档妥善保存在安全服务器上，以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。

    用户可以通过两种方法将配置文档存放在支持命令行接口（CLI）的路由器平台上。一种方法是运行脚本，脚本能够在配置服务器到路由器之间建立SSH 会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统；另外一种方法是在配置服务器到路由器之间建立IPSec隧道，通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前，制订详细的逆序操作规程。

    总结：

    路由器将是保护内部网的第一道关口，是我们整个局域网的“门户”，让我们的路由更安全、更强壮，是需要我们通过实践了一步步去探索的。

上一页  [1] [2] 

【责编:Zenghui】