路由器的安全配置与安全维护研究
2019-09-10刘鑫
刘鑫
【摘要】随着我国科学技术不断的发展进步,也在很大程度上推动了互联网等相关领域的发展进程,路由器的安全在其中也是占据着非常重要的地位,本文主要立足于路由器的安全配置与安全维护,展开了深入的研究与分析,以此期望为我国今后来对于相关的研究问题上,提供一些参考性的建议。
【关键词】路由器;安全配置;安全维护;分析总结
1路由器的安全配置概述
要想真正的保证整个网络自身的安全性,并有效的管理好路由器,就一定要增强对于路由器自身安全配置的重视度。路由器当中的主要操作系统则是被称之为互联网络操作系统,也被简称之为“IOS”,在针对于路由器当中的各项安全配置上面,主要是通过以手工的形式,然后将其连接到控制端口的终端当中,或者是合理的利用一些Telet会话等方式上来对其进行有效的配置,要想保证整个路由器的安全性,需要对以下几点控制加强重视度。
1.1路由器访问控制的安全配置。
在针对于这点上,主要是1.需要严格的控制好所有相关的能够访问路由器的管理人员,在对于每一次的路由器维护上,都是需要将其进行记录备案的。2.还需要加强注意的是远程访问路由器,在这里建议使用一些访问控制列表或者是使用一些具有高强度的密码控制等等。3.不仅如此,还需要严格对CON端口的访问进行及时有效的控制,采取的做法上及时、合理的给CON口设置一个具有高强度的密码。4.如果不在进行使用的AUX端口过程时,那么就一定要禁止这个端口,默认是未被启用。5.本文建议合理采用权限分级实时策略。
1.2路由器网络服务安全配置概述
在针对于这里主要是需要对于以下几点进行注意。1.禁止CDP以及禁止一些其他相关TCP、UDP Small、Finger等相关的服务。2.还需要禁止BOOTP服务,这里主要是禁止从网络在启动的过程当中与着自动从网络下载初始的一些配置文件上。3.禁止IP Source Routing,这里建议当不需要使用ARP-Proxy 服务器的过程当中,那么就一定要将其进行机制的禁止,这样做的主要原因则是,路由器的默认下它是处于开启的状态的。4.本文这里还适当的建议禁止SNMP协议服务,在对其进行禁止的过程当中,也是一定要加强删除一些关于SNMP服务的默认配置的重视度的或者是在对于一些需要被访问的列表上,进行及时有效的过滤。
1.3路由器路由协议的安全配置概述
在针对于这方面,主要是针对以下几点需要注意:1.一定要先禁止路由器默认启用状态下的ARP-Proxy,这里主要是因为,ARP-Proxy极其容易引起整个路由器发生内部的混乱现象。2.在进行启用OSPE路由协议认证的过程当中,对于默认状态下的OSPF认证密码一定要确保是处于明文传输的,这里也可以是合理的通过启用MDS认证,并将其设定出具有较强难度性的密钥。3.这里在对于路由器路由协议的安全配置方面上,可以建议启用IP Unicast Reverse -Path Verification,在启用IP Unicast Reverse -Path Verification的主要原因则是因为能够在最大限度上检查原IP地质自身的准确以及有效性,从而才能够在一定程度上防止IP spooling的发生,但是其自身也存在着一个较为突出的弊端,就是,它只能是在已经启用了CEE的路由器上面进行使用。
2路由器网络病毒防控分析概述
利用路由器自身的网络漏洞,所发起的攻击事件是经常发生的,当路由器自身收到攻击的过程当中,不光是能够在很大程度上浪费掉整个CPU的周期性,还能够在一定程度上导致路由器自身因为网络的异常,从而陷于瘫痪之中,所以,是需要对路由器网络病毒漏洞进进行防控,并采取相对应的安全措施来维护路由器网络自身的安全性。
在针对于这里,根据相关的调查资料显示,大概具有82%的路由器安全网络突破实践,主要的原因是体现在薄弱的口令方面的,一些不法的人士来利用弱口令或者是默认口令上,就很轻易的对相关企业单位自身的网络进行攻击,着也会在很大程度上造成相关企业单位自身的经济效益损失。针对的有效防控做法是:加长口令的长度,合理的选用30~60天的口令有效期限等措施,就能够在很大程度上助于防止这种类型的攻击。
及时有效的关闭IP直接广播,这里主要是因为Smurf自身的攻击,是一种拒绝服务的攻击,而在面对于这种攻击的状态下,那么相关的攻击者,就能够有效的利用脚毛的源地址,来对于相关企业单位自身的网络广播地址,发送出一个称为“ICMP echo”的请求,而这也就意味着,是需要所有的主机在对于这个称为“ICMP echo”的广播请求上做出回应的,通常来看,这样的情况是会在一定程度上降低企业单位整体的网络性能水平的。而合理的通过使用能no ipsource-route来对整个IP直接广播地址进行第一时间上的关闭,这样就能够在很大程度上避免出现上文所阐述的问题情况。
结论
与此同时,可能时还需要关闭路由器自身的HTTP设置,这里主要的原因则是,HTTP在对于使用自身的身份识别协议过程当中,就相当于向相關企业自身的整体网络发送一个未加密的口令,所以,在必要时,还是需要关闭路由器自身的HTTP设置的。
参考文献
[1]严峻,黄瑞. 基于ACL的包过滤防火墙实验教学设计与实现[J]. 中国教育信息化,2014,14:73-76.
[2]赵清源. 试论路由器的安全配置与安全维护[J]. 电脑与电信,2008,03:67-68.
