淺談路由器的安全配置及安全維護

摘 要：近年來，隨著電子計算機技術和網絡技術的發展，互聯網的應用已普及世界各地，但是，隨之而來的網絡安全問題也日益凸顯。路由器能夠對一定區域內的網絡進行連接，能為網絡信息和數據的傳輸提供一定的路徑，是網絡應用中的重要設備，在互聯網中的作用是不可替代的。文章介紹了路由器工作的原理，并對其安全配置和安全維護進行了探討分析。

關鍵詞：路由器；安全配置；安全維護

中圖分類號：TN915.05 文獻標識碼：A 文章編號：1006-8937（2013）11-0077-02

隨著網絡技術和計算機技術的發展，計算機網絡在我國甚至是在世界各地都得到了廣泛和深入的應用，在此期間，網絡安全問題越來越突出。路由器作為網絡應用中的重要設備，擔任著網絡信息的接收和傳輸，其設置和維護安全與否直接影響著整個網絡的安全，因此，想要確保整個網絡設置的安全，首先就要確保路由器的安全，這個時候，選擇合適的路由器，并做好路由器的安全配置和維護工作就顯得非常重要了。

1 路由器的工作原理

路由器作為網絡中信息流和數據分組選擇的路由設備，主要是用來連接多個不同邏輯的網絡的，能夠在網絡層實現兩個子網之間的數據的轉發和傳輸，且能夠對所傳輸數據的地址進行判斷，并對傳輸地址的傳輸路徑進行選擇，這樣，網絡的連接方式就可以在路由器設置的多種不同互聯網環境的基礎上創建起來，且創建方法靈活、簡便、快速。路由器還具有分類傳輸信息和數據的作用，并為這些數據尋找最佳的傳輸路徑，能夠為數據傳送內容的有效性、可靠性提供保障。數據傳輸的過程中，必須通過路由器擁有控制平面上的路由協議，只有這樣，數據才能按照拓撲結構自動生成路由表，并自動保存，這些數據能夠根據系統自行修改，供路由器傳輸數據時使用，極大方便了路由器的傳輸，提高了其傳輸過程的自由性。

2 路由器的安全配置和安全維護

2.1 路由器的安全配置

①路由協議。禁止APP服務，因為這項服務能夠引起路由表的混亂；對RIP服務進行啟用，從而對RIP進行認證；對MD5進行啟用，并設置訪問權限密碼；建議啟動OSPF；IPATH可以對IP地址的準確性進行判斷和檢查，建議啟用IPATH；啟用訪問列表，利用訪問列表過濾垃圾信息或惡意信息，從而將垃圾信息量控制在一定范圍內。

②網絡服務。路由器擁有眾多的服務項目，所以其服務功能非常強大，但是繁瑣多樣的服務項也導致路由器服務的安全問題日益凸顯，因此，有些服務項是可以禁止的，特別是路由器上的CDP必須禁用，否則路由器的使用性能將會大大受到影響。很多用戶使用網絡的時間大都不一樣，這就需要考慮用戶使用網絡的時間同步，用戶可以采用路由器網絡服務中的時間服務協議來做到網絡設備上時間的同步。用戶所使用的服務項并不多，這就需要對一些服務項進行禁止，比如，可禁止SNMP和DHCP服務，這兩個服務項在必要的時候可使用；禁止CDP；禁止HTTP服務；禁止IP資源路徑，ARP在不使用的時候也可以禁止；禁止ICMP協議等。

③訪問控制。對于路由器訪問控制的安全設置做法包括以下幾個方面：網絡管理員大都可以對路由器進行訪問，所以要嚴格控制網絡管理員，對于路由器的維護，網絡管理員必須認真做好相關數據的記錄；設置訪問權限，將訪問權限進行分級，控制遠程訪問、CON端口訪問、特權模式訪問、虛擬終端訪問等，特別是虛擬終端的訪問，一般，虛擬終端線路啟用后并不能直接使用，必須對其進行配置才允許用戶登陸，由于虛擬終端在網絡的傳輸過程中是不加密的，所以對其控制除了要進行登陸密碼設置外，還要對其連接時候所傳輸的數據數量進行控制，并對其訪問地址進行嚴格的控制；如果不使用異步端口，要將這個端口默認為被啟用，禁止使用。

④防止攻擊和病毒。對于TCPSYN的防范可通過TCP；禁止ICMP相關協議和TRACE路線命令的探查，可允許ECHO命令的使用；控制NACHI 蠕蟲，控制BLASTER蠕蟲的傳播和攻擊，對于可能存在的漏洞要及時關閉。

2.2 路由器的安全維護

①監控配置的更改。對路由器的監控配置進行更改，更改后，還要對路由器進行實時監控，如果網絡用戶使用的是SNMP，最好使用能夠提供消息加密功能的SNMP管理，如果路由器的配置不是通過SNMP管理進行的，必須將設備設置成只讀模式。同時，用戶必須阻斷對這些設備的寫訪問，只有這樣才能夠防止入侵者惡意改動其設備或網絡接口。為了進一步提高系統的安全管理，用戶還可以運用SSH進行管理，建立起與路由器之間的會話。

②避免口令的泄露。黑客攻擊網絡常常是利用薄弱的口令來進行的，據調查，有八成的網絡安全事件的發生是由薄弱口令引起的，這就要求用戶采取加長口令、30～60 d的口令有效期等措施防止黑客的攻擊。除了采取上述措施，用戶還可以啟用口令上的加密功能對口令進行加密。

③邏輯訪問的限制。限制邏輯訪問可通過對訪問列表進行控制的手段來實現，當用戶登錄到路由器上訪問的時候，一些配備的信息就會留在路由器上，這些信息并不會在第一時間就消失，這就為黑客入侵提供了條件。對訪問列表的控制，可在路由器上添加訪問列表，并在訪問列表上設置特定的物理地址，防止其他地址對路由器的訪問，另外，必須對消息協議的流量的種類進行控制，還要對路由器的配備信息進行控制，將超出路由器訪問量的信息列為無效信息。

④進行配置管理。對路由器的配置管理中，最重要的一個方面就是確保網絡的使用有合理的路由協議，避免使用路由信息協議。用戶要對路由器進行實時的管理，并將配置的備份文件保存在安全的服務器上，從而防止更換或重裝系統時候重新配置的情況發生。用戶要對路由器的管理者、路由器的更改的時間和更改的內容有一定的了解，這樣，無論什么時候進行更改，在進行更改前都能預先制定詳細的操作步驟和規程。

3 結 語

總之，路由器是網絡應用中的重要設備，可以說，路由器是網絡信息數據接受和傳輸的橋梁，路由器的安全性的高低直接影響著網絡的安全。因此，必須根據網絡特點，合理的選擇路由器，并做好路由器的安全配置和維護工作，只有這樣才能保證整個網絡的安全、可靠的運行，網絡在各行各業中的作用才能得到充分的發揮。

參考文獻：

[1] 徐菲.路由器的安全配置與安全維護分析[J].信息與電腦，2013，（2）：118-119.

[2] 劉寧，張帆.路由器的安全配置及其安全維護分析[J].華章，2013，（3）：313.

[3] 趙清源.試論路由器的安全配置與安全維護[J].電腦與電信，2008，（3）：67-68.