路由器是區域網連線外部網路的重要橋梁,是網路系統中不可或缺的重要部件,也是網路安全的前沿關口。但是路由器的維護卻很少被大家所重視。試想,如果路由器連自身的安全都沒有保障,整個網路也就毫無安全可言。因此在網路安全管理上,必須對路由器進行合理規劃、配置,採取必要的安全保護措施,避免因路由器自身的安全問題而給整個網路系統帶來漏洞和風險。我們下面就給大家介紹一些路由器加強路由器安全的措施和方法,讓我們的網路更安全。
1. 為路由器間的協議交換增加認證功能,提高網路安全性。
路由器的乙個重要功能是路由的管理和維護,目前具有一定規模的網路都採用動態的路由協議,常用的有:rip、eigrp、ospf、is-is、bgp等。當一台設定了相同路由協議和相同區域標示符的路由器加入網路後,會學習網路上的路由資訊表。但此種方法可能導致網路拓撲資訊洩漏,也可能由於向網路傳送自己的路由資訊表,擾亂網路上正常工作的路由資訊表,嚴重時可以使整個網路癱瘓。這個問題的解決辦法是對網路內的路由器之間相互交流的路由資訊進行認證。當路由器配置了認證方式,就會鑑別路由資訊的收發方。
2. 路由器的物理安全防範。
路由器控制埠是具有特殊許可權的埠,如果攻擊者物理接觸路由器後,斷電重啟,實施「密碼修復流程」,進而登入路由器,就可以完全控制路由器。
3. 保護路由器口令。
在備份的路由器配置檔案中,密碼即使是用加密的形式存放,密碼明文仍存在被破解的可能。一旦密碼洩漏,網路也就毫無安全可言。
4. 阻止察看路由器診斷資訊。
關閉命令如下: no service tcp-small-servers no service udp-small-servers
5. 阻止檢視到路由器當前的使用者列表。
關閉命令為:no service finger.
6. 關閉cdp服務。
在osi二層協議即鏈路層的基礎上可發現對端路由器的部分配置資訊: 裝置平台、作業系統版本、埠、ip位址等重要資訊。可以用命令: no cdp running或no cdp enable關閉這個服務。
7. 阻止路由器接收帶源路由標記的包,將帶有源路由選項的資料流丟棄。
「ip source-route」是乙個全域性配置命令,允許路由器
處理帶源路由選項標記的資料流。啟用源路由選項後,源路由資訊指定的路由使資料流能夠越過預設的路由,這種包就可能繞過防火牆。關閉命令如下: no ip source-route.
8. 關閉路由器廣播包的**。
sumrf d.o.s攻擊以有廣播**配置的路由器作為反射板,占用網路資源,甚至造成網路的癱瘓。應在每個埠應用「no ip directed-broadcast」關閉路由器廣播包。
9. 管理http服務。
http服務提供web管理介面。「no ip http server」可以停止http服務。如果必須使用http,一定要使用訪問列表「ip http access-class」命令,嚴格過濾允許的ip位址,同時用「ip http authentication 」命令設定授權限制。
10. 抵禦spoofing(欺騙) 類攻擊。
使用訪問控制列表,過濾掉所有目標位址為網路廣播位址和宣稱來自內部網路,實際卻來自外部的包。 在路由器埠配置: ip access-group list in number 訪問控制列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令將過濾bootp/dhcp 應用中的部分資料報,在類似環境中使用時要有充分的認識。
11. 防止包嗅探。
黑客經常將嗅探
軟體安裝在已經侵入的網路上的計算機內,監視網路資料流,從而盜竊密碼,包括snmp 通訊密碼,也包括路由器的登入和特權密碼,這樣網路管理員難以保證網路的安全性。在不可信任的網路上不要用非加密協議登入路由器。如果路由器支援加密協議,請使用ssh 或 kerberized telnet,或使用ipsec加密路由器所有的管理流。
12.校驗資料流路徑的合法性。
使用rpf (reverse path forwarding)反相路徑**,由於攻擊者位址是違法的,所以攻擊包被丟棄,從而達到抵禦spoofing 攻擊的目的。rpf反相路徑**的配置命令為: ip verify unicast rpf. 注意: 首先要支援 cef(cisco express forwarding) 快速**。
13. 防止syn 攻擊。
14. 使用安全的snmp管理方案。
snmp廣泛應用在路由器的監控、配置方面。snmp version 1在穿越公網的管理應用方面,安全性低,不適合使用。利用訪問列表僅僅允許來自特定工作站的snmp訪問通過這一功能可以來提公升snmp服務的安全效能。配置命令: snmp-server community ***xx rw xx ;xx是訪問控制列表號 snmp version 2使用md5數字身份鑑別方式。不同的路由器裝置配置不同的數字簽名密碼,這是提高整體安全效能的有效手段。
綜述:路由器作為整個網路的關鍵性裝置,安全問題是需要我們特別重視。當然,如果僅僅是靠上面的這些設定方法,來保護我們的網路是遠遠不夠的,還需要配合其他的裝置來一起做好安全防範措施,將我們的網路打造成為乙個安全穩定的資訊交流平台。
教你通過路由器設定網速
路由器設定網速步驟 1 首先我們需要保證我們的路由器具有www.cppcns.comip流量控制功能 2 通過電腦連線到網路,開啟瀏覽器,輸入路由器後台管理ip,並輸入使用者名稱和密碼 3 點選 確定 按鈕通過驗證後進入嚮導介面,我們點選左側的 ip頻寬控制 鏈結 4 然後在右側的 ip頻寬控制 中...
國稅VPDN通過路由器拔號
619 678 691錯誤的解決辦法 一 vpdn撥號時提示619錯誤,指定埠沒有連線錯誤,如和解決?1 如果計算機中使用了防火牆軟體,可以先關閉後再重試 2 如果偶爾出現,重撥幾次,或者重新啟動計算機及路由器後再重試 3 如果是通過區域網或者通過路由器上網的使用者,請網管在伺服器或者路由器上開啟u...
通過路由器設定,讓外網可以訪問內網電腦應用服務
固定自己電腦內網的ip位址 2 設定自己的路由器 登入到路由器,找到 埠 設定,如圖配置完成後儲存 這樣配置配置完成,當通過外網訪問 外網ip 80,就會被對映到 192.168.11.209 8080 注 ip為示例圖中設定資訊 也就是說通過訪問外網ip 80,就可以內網訪問192.168.11....