交換機與路由器的安全配置

白桂君　余夢琪　韓珺

摘要：進入21世紀以來，我們就進入了信息時代，全世界的計算機通過網絡聯系到一起，其安全配置更需要得到我們的注意。在本文中，我們將對交換器和路由器安全配置的有效方法進行分析，以保障其在運行過程的安全性和穩定性。

關鍵詞：交換機；路由器；安全配置；維護方法

隨著網絡黑客、網絡攻擊等的不斷出現，網絡的安全性成為了各界人士共同關注的問題。由于網絡的開放性和交互性，存在著很多因素，對網絡安全產生著消極影響。網絡硬件配置不協調、訪問控制配置的錯誤，都有可能導致網絡安全性問題，影響網絡功能的發揮。交換機與路由器是網絡設置中的重要組成部分，我們應做好交換機與路由器的安全配置工作，從而提高網絡環境的安全性。

1、交換機的安全配置

交換機的主要功能包括物理編址、網絡拓撲結構、錯誤校驗、幀序列以及流量控制。目前一些高檔交換機還具備了一些新的功能，如對VLAN（虛擬局域網）的支持、對鏈路匯聚的支持，甚至有的還具有路由和防火墻的功能。交換機在企業網絡中占有非常重要的地位，一般是企業整個網絡的核心，尤其是在這個黑客頻出的時代，交換機承擔了一定的安全防護任務，因此，一般來說交換機在制造的過程中，已經將安全問題考慮在其中，使其具備基本的訪問控制、防火墻、入侵檢測和防病毒等功能。具體來說，對交換機的安全配置可以通過如下幾個方面進行：

1.1 對流量進行控制

在企業網絡的運行過程中，有的時候會存在異常流量，對企業的寬帶網進行流量竊取，而安全交換機能夠對這部分異常流量進行檢測和管理，使其控制在一個合理的范圍之內，從而限制異常流量，保持網絡的通暢。

1.2 虛擬局域網

交換機的其中一個保障安全性的功能，就是虛擬局域網。虛擬局域網能夠將網絡分成一個個獨立的區域，對這些區域進行控制和管理，限制其是否可以通訊。一般情況下，虛擬局域網能夠跨越一個或者多個交換機，使設備之間實現在同一個網絡間的通訊。虛擬局域網能夠對網絡內的訪問進行授權，也可以對一些限制用戶的行為進行控制，阻止其訪問。

1.3 訪問控制列表

交換機能夠對訪問列表進行控制，能夠實現防火墻的安全功能，使交換機的安全防護功能進一步增強。在以往的經驗中，訪問控制列表只能夠在核心路由器上進行使用，而在安全交互機中，訪問控制過濾措施可以基于端口、ICMP類型或者Mac地址來實現。訪問控制列表既可以讓網絡管理人員對網絡策略進行制定，使部分用戶或者是特定的數據流被允許或者拒絕，也能夠加強網絡的安全屏障，使黑客難以找到主機，從而失去發動攻擊的目的地。

2、路由器的安全配置

路由器在人們的生活中非常常見，能夠將計算機連接到網絡中，并且能夠根據信道的情況來自動選擇和設定路由，以最佳路徑來發送信號。路由器的主要功能有兩種，一種是數據通道功能，能夠幫助數據在網絡中實現傳輸，另一種是控制功能，一般由軟件來實現，可以使該路由器與相鄰路由器之間進行信息的交流和系統的管理、配置。對于黑客來說，能夠快速找到路由器的安全漏洞，并發動攻擊，導致cpu周期被浪費，誤導信息流量，甚至會造成網絡的癱瘓。路由器的安全配置主要有如下幾個方面：

2.1 發現并堵住安全漏洞

當前，最有效的一種路由器安全防護方法，就是限制系統物理訪問。限制系統物理訪問的方法，主要是對控制臺和終端會話進行配置，使其在空閑的實施能夠自動退出系統。還有一種方法就是將調制解調器連接到路由器的輔助端口上。在限制了路由器的系統物理訪問的同時，應確保路由器的安全補丁是最新的。由于漏洞一般是在各種殺毒軟件、防火墻在發布補丁之前就出現了，因此黑客很有可能搶在補丁發布之前來對系統進行攻擊，從而影響系統的應用，因此用戶也應做好日常維護，防止黑客攻擊。

2.2 防止個人身份信息暴露

黑客在對計算機進行侵入的時候，一般會嘗試用安全性比較弱的密碼來進行侵入，因此在設置密碼的時候應盡可能增加密碼的長度，并經常對密碼進行更改，防止黑客的攻擊。在一個企業中，如果員工辭職了，應馬上對計算機的密碼進行更改，防止個人身份信息泄露，使黑客進入企業網絡中進行攻擊。路由器中應開啟加密功能，防止黑客對網絡中的信息進行瀏覽，在用戶進入網絡的時候應對其身份進行驗證，才能夠為用戶提供網絡服務。

2.3 對不必要的服務進行攔截

擁有眾多路由服務是件好事，但近來許多安全事件都凸顯了禁用不需要本地服務的重要性。需要注意的是，禁用路由器上的CDP可能會影響路由器的性能。另一個需要用戶考慮的因素是定時。定時對有效操作網絡是必不可少的。即使用戶確保了部署期間時間同步，經過一段時間后，時鐘仍有可能逐漸失去同步。用戶可以利用名為網絡時間協議（NTP）的服務，對照有效準確的時間源以確保網絡上的設備時針同步。不過，確保網絡設備時鐘同步的最佳方式不是通過路由器，而是在防火墻保護的非軍事區（DMZ）的網絡區段放一臺NTP服務器，將該服務器配置成僅允許向外面的可信公共時間源提出時間請求。在路由器上，用戶很少需要運行其他服務，如SNMP和DHCP。只有絕對必要的時候才使用這些服務。

結語

總之，我們應認識到安全配置對于網絡安全的重要性，并做好交換機和路由器的安全配置工作，從而保障用戶的數據安全。

【參考文獻】：

[1]劉濤.Cisco Packet Tracer在交換機路由器配置實踐中的應用[J].阜陽職業技術學院學報，2013（02）：44-47.

[2]歐軍.基于工作過程的《交換機與路由器配置》課程研究[J].吉林省教育學院學報（上旬），2013（02）：153-154.

[3]董超.淺析交換機路由器的配置維護和管理[J].中小企業管理與科技（下旬刊），2012（05）：301-302.

[4]白凱.路由器/交換機配置批量備份的探索[A].中國通信學會信息通信網絡技術委員會.中國通信學會信息通信網絡技術委員會2009年年會論文集（上冊）[C].中國通信學會信息通信網絡技術委員會，2009：7.

[5]劉允.用TFTP服務器備份路由器、交換機配置[J].華南金融電腦，2005（09）：108.