在世界里器是不可或缺重要部件没有它我们将没有办法和 5彩斑斓外部世界建立联系因此器管理直是网络管理员最重要日常工作的本文作者结合自己工作实战整理总结了14条保护路由器、防止非法入侵办法你不妨试
　　
　　路由器是网络系统主要设备也是网络前沿关口如果路由器连自身都没有保障整个网络也就毫无安全可言因此在网络安全管理上必须对路由器进行合理规划、配置采取必要安全保护措施避免因路由器自身安全问题而给整个网络系统带来漏洞和风险 下面是些加强路由器安全具体措施用以阻止对路由器本身攻击并防范网络信息被窃取本文以路由器IOS 12.0 为例供大家参考
　　
　　1. 为路由器间增加认证功能提高网络安全性路由器个重要功能是路由管理和维护目前具有定规模网络都采用动态路由,常用有:RIP、EIGRP、OSPF、IS-IS、BGP等当台设置了相同路由和相同区域标示符路由器加入网络后会学习网络上路由信息表但此种思路方法可能导致网络拓扑信息泄漏也可能由于向网络发送自己路由信息表扰乱网络上正常工作路由信息表严重时可以使整个网络瘫痪这个问题解决办法是对网络内路由器的间相互交流路由信息进行认证当路由器配置了认证方式就会鉴别路由信息收发方有两种鉴别方式其中“纯文本方式”安全性低建议使用“MD5方式”
　　
　　2. 路由器物理安全防范路由器控制端口是具有特殊权限端口如果攻击者物理接触路由器后断电重启实施“密码修复流程”进而登录路由器就可以完全控制路由器
　　
　　3. 保护路由器口令在备份路由器配置文件中密码即使是用加密形式存放密码明文仍存在被破解可能旦密码泄漏网络也就毫无安全可言
　　
　　4. 阻止察看路由器诊断信息关闭命令如下:
　　
　　no service tcp-small-servers
　　
　　no service udp-small-servers
　　
　　5. 阻止查看到路由器当前用户列表关闭命令为:no service finger
　　
　　6. 关闭CDP( Discover Protocol)服务在OSI 2层协议即链路层基础上可发现对端路由器部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息可以用命令: no cdp running或no cdp enable关闭这个服务
　　
　　7. 阻止路由器接收带源路由标记包将带有源路由选项数据流丢弃“IP source-route”是个全局配置命令允许路由器处理带源路由选项标记数据流启用源路由选项后源路由信息指定路由使数据流能够越过默认路由这种包就可能绕过关闭命令如下: no ip source-route
　　
　　8. 关闭路由器广播包转发sumrf D.o.S攻击以有广播转发配置路由器作为反射板占用网络资源甚至造成网络瘫痪应在每个端口应用“no ip directed-broadcast”关闭路由器广播包
　　
　　9. 管理HTTP服务HTTP服务提供Web管理接口“no ip http server”可以停止HTTP服务如果必须使用HTTP定要使用访问列表“ip http access-”命令严格过滤允许IP地址同时用“ip http authentication ”命令设定授权限制
　　
　　10. 抵御spoofing(欺骗) 类攻击使用访问控制列表过滤掉所有目标地址为网络广播地址和宣称来自内部网络实际却来自外部包
　　
　　在路由器端口配置:
　　
　　ip access-group list in number
　　
　　访问控制列表如下:
　　
　　access-list number deny icmp any any redirect
　　
　　access-list number deny ip 127.0.0.0 0.255.255.255 any
　　
　　access-list number deny ip 224.0.0.0 31.255.255.255 any
　　
　　access-list number deny ip host 0.0.0.0 any
　　
　　注: 上述 4行命令将过滤BOOTP/DHCP 应用中部分数据包在类似环境中使用时要有充分认识
　　
　　11. 防止包嗅探黑客经常将嗅探软件Software安装在已经侵入网络上计算机内监视网络数据流从而盗窃密码,包括SNMP 通信密码也包括路由器登录和特权密码这样网络管理员难以保证网络安全性在不可信任网络上不要用非加密协议登录路由器如果路由器支持加密协议请使用SSH 或 Kerberized Telnet或使用IPSec加密路由器所有管理流
　　
　　12.校验数据流路径合法性使用RPF (reverse path forwarding)反相路径转发由于攻击者地址是违法所以攻击包被丢弃从而达到抵御spoofing 攻击目RPF反相路径转发配置命令为: ip very unicast rpf
　　
　　注意: 首先要支持 CEF(Cisco Express Forwarding) 快速转发
　　
　　13. 防止SYN 攻击Cisco 4xxx、7x00 series平台上IOS 版本可以开启TCP 拦截功能防止SYN 攻击工作模式分拦截和监视两种默认情况是拦截模式(拦截模式: 路由器响应到达SYN请求并且代替发送个SYN-ACK报文然后等待客户机ACK如果收到ACK再将原来SYN报文发送到; 监视模式:路由器允许SYN请求直接到达服务器如果这个会话在30秒内没有建立起来路由器就会发送个RST,以清除这个连接)
　　
　　首先配置访问列表以备开启需要保护IP地址:
　　
　　access list [1-199] [deny|permit] tcp any destination destination-wildcard
　　
　　然后开启TCP拦截:
　　
　　Ip tcp ercept mode ercept
　　
　　Ip tcp ercept list access list-number
　　
　　Ip tcp ercept mode watch
　　
　　14. 使用安全SNMP管理方案SNMP广泛应用在路由器监控、配置方面SNMP Version 1在穿越公网管理应用方面安全性低不适合使用利用访问列表仅仅允许来自特定工作站SNMP访问通过这功能可以来提升SNMP服务安全性能配置命令:
　　
　　snmp-server community xxxxx RW xx
　　
　　；xx是访问控制列表号
　　
　　SNMP Version 2使用MD5数字身份鉴别方式区别路由器设备配置区别数字签名密码这是提高整体安全性能有效手段
　　
　　总的路由器安全防范是网络安全个重要组成部分还必须配合其他安全防范措施这样才能共同构筑起安全防范整体工程(作者单位: 中国建设银行宁夏分行)