路由器的安全配置與安全維護研究

劉鑫

【摘要】隨著我國科學(xué)技術(shù)不斷的發(fā)展進步，也在很大程度上推動了互聯(lián)網(wǎng)等相關(guān)領(lǐng)域的發(fā)展進程，路由器的安全在其中也是占據(jù)著非常重要的地位，本文主要立足于路由器的安全配置與安全維護，展開了深入的研究與分析，以此期望為我國今后來對于相關(guān)的研究問題上，提供一些參考性的建議。

【關(guān)鍵詞】路由器；安全配置；安全維護；分析總結(jié)

1路由器的安全配置概述

要想真正的保證整個網(wǎng)絡(luò)自身的安全性，并有效的管理好路由器，就一定要增強對于路由器自身安全配置的重視度。路由器當(dāng)中的主要操作系統(tǒng)則是被稱之為互聯(lián)網(wǎng)絡(luò)操作系統(tǒng)，也被簡稱之為“IOS”，在針對于路由器當(dāng)中的各項安全配置上面，主要是通過以手工的形式，然后將其連接到控制端口的終端當(dāng)中，或者是合理的利用一些Telet會話等方式上來對其進行有效的配置，要想保證整個路由器的安全性，需要對以下幾點控制加強重視度。

1.1路由器訪問控制的安全配置。

在針對于這點上，主要是1.需要嚴格的控制好所有相關(guān)的能夠訪問路由器的管理人員，在對于每一次的路由器維護上，都是需要將其進行記錄備案的。2.還需要加強注意的是遠程訪問路由器，在這里建議使用一些訪問控制列表或者是使用一些具有高強度的密碼控制等等。3.不僅如此，還需要嚴格對CON端口的訪問進行及時有效的控制，采取的做法上及時、合理的給CON口設(shè)置一個具有高強度的密碼。4.如果不在進行使用的AUX端口過程時，那么就一定要禁止這個端口，默認是未被啟用。5.本文建議合理采用權(quán)限分級實時策略。

1.2路由器網(wǎng)絡(luò)服務(wù)安全配置概述

在針對于這里主要是需要對于以下幾點進行注意。1.禁止CDP以及禁止一些其他相關(guān)TCP、UDP Small、Finger等相關(guān)的服務(wù)。2.還需要禁止BOOTP服務(wù)，這里主要是禁止從網(wǎng)絡(luò)在啟動的過程當(dāng)中與著自動從網(wǎng)絡(luò)下載初始的一些配置文件上。3.禁止IP Source Routing，這里建議當(dāng)不需要使用ARP-Proxy 服務(wù)器的過程當(dāng)中，那么就一定要將其進行機制的禁止，這樣做的主要原因則是，路由器的默認下它是處于開啟的狀態(tài)的。4.本文這里還適當(dāng)?shù)慕ㄗh禁止SNMP協(xié)議服務(wù)，在對其進行禁止的過程當(dāng)中，也是一定要加強刪除一些關(guān)于SNMP服務(wù)的默認配置的重視度的或者是在對于一些需要被訪問的列表上，進行及時有效的過濾。

1.3路由器路由協(xié)議的安全配置概述

在針對于這方面，主要是針對以下幾點需要注意：1.一定要先禁止路由器默認啟用狀態(tài)下的ARP-Proxy，這里主要是因為，ARP-Proxy極其容易引起整個路由器發(fā)生內(nèi)部的混亂現(xiàn)象。2.在進行啟用OSPE路由協(xié)議認證的過程當(dāng)中，對于默認狀態(tài)下的OSPF認證密碼一定要確保是處于明文傳輸?shù)模@里也可以是合理的通過啟用MDS認證，并將其設(shè)定出具有較強難度性的密鑰。3.這里在對于路由器路由協(xié)議的安全配置方面上，可以建議啟用IP Unicast Reverse -Path Verification，在啟用IP Unicast Reverse -Path Verification的主要原因則是因為能夠在最大限度上檢查原IP地質(zhì)自身的準(zhǔn)確以及有效性，從而才能夠在一定程度上防止IP spooling的發(fā)生，但是其自身也存在著一個較為突出的弊端，就是，它只能是在已經(jīng)啟用了CEE的路由器上面進行使用。

2路由器網(wǎng)絡(luò)病毒防控分析概述

利用路由器自身的網(wǎng)絡(luò)漏洞，所發(fā)起的攻擊事件是經(jīng)常發(fā)生的，當(dāng)路由器自身收到攻擊的過程當(dāng)中，不光是能夠在很大程度上浪費掉整個CPU的周期性，還能夠在一定程度上導(dǎo)致路由器自身因為網(wǎng)絡(luò)的異常，從而陷于癱瘓之中，所以，是需要對路由器網(wǎng)絡(luò)病毒漏洞進進行防控，并采取相對應(yīng)的安全措施來維護路由器網(wǎng)絡(luò)自身的安全性。

在針對于這里，根據(jù)相關(guān)的調(diào)查資料顯示，大概具有82%的路由器安全網(wǎng)絡(luò)突破實踐，主要的原因是體現(xiàn)在薄弱的口令方面的，一些不法的人士來利用弱口令或者是默認口令上，就很輕易的對相關(guān)企業(yè)單位自身的網(wǎng)絡(luò)進行攻擊，著也會在很大程度上造成相關(guān)企業(yè)單位自身的經(jīng)濟效益損失。針對的有效防控做法是：加長口令的長度，合理的選用30～60天的口令有效期限等措施，就能夠在很大程度上助于防止這種類型的攻擊。

及時有效的關(guān)閉IP直接廣播，這里主要是因為Smurf自身的攻擊，是一種拒絕服務(wù)的攻擊，而在面對于這種攻擊的狀態(tài)下，那么相關(guān)的攻擊者，就能夠有效的利用腳毛的源地址，來對于相關(guān)企業(yè)單位自身的網(wǎng)絡(luò)廣播地址，發(fā)送出一個稱為“ICMP echo”的請求，而這也就意味著，是需要所有的主機在對于這個稱為“ICMP echo”的廣播請求上做出回應(yīng)的，通常來看，這樣的情況是會在一定程度上降低企業(yè)單位整體的網(wǎng)絡(luò)性能水平的。而合理的通過使用能no ipsource-route來對整個IP直接廣播地址進行第一時間上的關(guān)閉，這樣就能夠在很大程度上避免出現(xiàn)上文所闡述的問題情況。

結(jié)論

與此同時，可能時還需要關(guān)閉路由器自身的HTTP設(shè)置，這里主要的原因則是，HTTP在對于使用自身的身份識別協(xié)議過程當(dāng)中，就相當(dāng)于向相關(guān)企業(yè)自身的整體網(wǎng)絡(luò)發(fā)送一個未加密的口令，所以，在必要時，還是需要關(guān)閉路由器自身的HTTP設(shè)置的。

參考文獻

[1]嚴峻，黃瑞. 基于ACL的包過濾防火墻實驗教學(xué)設(shè)計與實現(xiàn)[J]. 中國教育信息化，2014，14：73-76.

[2]趙清源. 試論路由器的安全配置與安全維護[J]. 電腦與電信，2008，03：67-68.