路由器的安全配置與安全維護(hù)研究

劉鑫

【摘要】隨著我國科學(xué)技術(shù)不斷的發(fā)展進(jìn)步，也在很大程度上推動了互聯(lián)網(wǎng)等相關(guān)領(lǐng)域的發(fā)展進(jìn)程，路由器的安全在其中也是占據(jù)著非常重要的地位，本文主要立足于路由器的安全配置與安全維護(hù)，展開了深入的研究與分析，以此期望為我國今后來對于相關(guān)的研究問題上，提供一些參考性的建議。

【關(guān)鍵詞】路由器；安全配置；安全維護(hù)；分析總結(jié)

1路由器的安全配置概述

要想真正的保證整個網(wǎng)絡(luò)自身的安全性，并有效的管理好路由器，就一定要增強(qiáng)對于路由器自身安全配置的重視度。路由器當(dāng)中的主要操作系統(tǒng)則是被稱之為互聯(lián)網(wǎng)絡(luò)操作系統(tǒng)，也被簡稱之為“IOS”，在針對于路由器當(dāng)中的各項安全配置上面，主要是通過以手工的形式，然后將其連接到控制端口的終端當(dāng)中，或者是合理的利用一些Telet會話等方式上來對其進(jìn)行有效的配置，要想保證整個路由器的安全性，需要對以下幾點控制加強(qiáng)重視度。

1.1路由器訪問控制的安全配置。

在針對于這點上，主要是1.需要嚴(yán)格的控制好所有相關(guān)的能夠訪問路由器的管理人員，在對于每一次的路由器維護(hù)上，都是需要將其進(jìn)行記錄備案的。2.還需要加強(qiáng)注意的是遠(yuǎn)程訪問路由器，在這里建議使用一些訪問控制列表或者是使用一些具有高強(qiáng)度的密碼控制等等。3.不僅如此，還需要嚴(yán)格對CON端口的訪問進(jìn)行及時有效的控制，采取的做法上及時、合理的給CON口設(shè)置一個具有高強(qiáng)度的密碼。4.如果不在進(jìn)行使用的AUX端口過程時，那么就一定要禁止這個端口，默認(rèn)是未被啟用。5.本文建議合理采用權(quán)限分級實時策略。

1.2路由器網(wǎng)絡(luò)服務(wù)安全配置概述

在針對于這里主要是需要對于以下幾點進(jìn)行注意。1.禁止CDP以及禁止一些其他相關(guān)TCP、UDP Small、Finger等相關(guān)的服務(wù)。2.還需要禁止BOOTP服務(wù)，這里主要是禁止從網(wǎng)絡(luò)在啟動的過程當(dāng)中與著自動從網(wǎng)絡(luò)下載初始的一些配置文件上。3.禁止IP Source Routing，這里建議當(dāng)不需要使用ARP-Proxy 服務(wù)器的過程當(dāng)中，那么就一定要將其進(jìn)行機(jī)制的禁止，這樣做的主要原因則是，路由器的默認(rèn)下它是處于開啟的狀態(tài)的。4.本文這里還適當(dāng)?shù)慕ㄗh禁止SNMP協(xié)議服務(wù)，在對其進(jìn)行禁止的過程當(dāng)中，也是一定要加強(qiáng)刪除一些關(guān)于SNMP服務(wù)的默認(rèn)配置的重視度的或者是在對于一些需要被訪問的列表上，進(jìn)行及時有效的過濾。

1.3路由器路由協(xié)議的安全配置概述

在針對于這方面，主要是針對以下幾點需要注意：1.一定要先禁止路由器默認(rèn)啟用狀態(tài)下的ARP-Proxy，這里主要是因為，ARP-Proxy極其容易引起整個路由器發(fā)生內(nèi)部的混亂現(xiàn)象。2.在進(jìn)行啟用OSPE路由協(xié)議認(rèn)證的過程當(dāng)中，對于默認(rèn)狀態(tài)下的OSPF認(rèn)證密碼一定要確保是處于明文傳輸?shù)模@里也可以是合理的通過啟用MDS認(rèn)證，并將其設(shè)定出具有較強(qiáng)難度性的密鑰。3.這里在對于路由器路由協(xié)議的安全配置方面上，可以建議啟用IP Unicast Reverse -Path Verification，在啟用IP Unicast Reverse -Path Verification的主要原因則是因為能夠在最大限度上檢查原IP地質(zhì)自身的準(zhǔn)確以及有效性，從而才能夠在一定程度上防止IP spooling的發(fā)生，但是其自身也存在著一個較為突出的弊端，就是，它只能是在已經(jīng)啟用了CEE的路由器上面進(jìn)行使用。

2路由器網(wǎng)絡(luò)病毒防控分析概述

利用路由器自身的網(wǎng)絡(luò)漏洞，所發(fā)起的攻擊事件是經(jīng)常發(fā)生的，當(dāng)路由器自身收到攻擊的過程當(dāng)中，不光是能夠在很大程度上浪費掉整個CPU的周期性，還能夠在一定程度上導(dǎo)致路由器自身因為網(wǎng)絡(luò)的異常，從而陷于癱瘓之中，所以，是需要對路由器網(wǎng)絡(luò)病毒漏洞進(jìn)進(jìn)行防控，并采取相對應(yīng)的安全措施來維護(hù)路由器網(wǎng)絡(luò)自身的安全性。

在針對于這里，根據(jù)相關(guān)的調(diào)查資料顯示，大概具有82%的路由器安全網(wǎng)絡(luò)突破實踐，主要的原因是體現(xiàn)在薄弱的口令方面的，一些不法的人士來利用弱口令或者是默認(rèn)口令上，就很輕易的對相關(guān)企業(yè)單位自身的網(wǎng)絡(luò)進(jìn)行攻擊，著也會在很大程度上造成相關(guān)企業(yè)單位自身的經(jīng)濟(jì)效益損失。針對的有效防控做法是：加長口令的長度，合理的選用30～60天的口令有效期限等措施，就能夠在很大程度上助于防止這種類型的攻擊。

及時有效的關(guān)閉IP直接廣播，這里主要是因為Smurf自身的攻擊，是一種拒絕服務(wù)的攻擊，而在面對于這種攻擊的狀態(tài)下，那么相關(guān)的攻擊者，就能夠有效的利用腳毛的源地址，來對于相關(guān)企業(yè)單位自身的網(wǎng)絡(luò)廣播地址，發(fā)送出一個稱為“ICMP echo”的請求，而這也就意味著，是需要所有的主機(jī)在對于這個稱為“ICMP echo”的廣播請求上做出回應(yīng)的，通常來看，這樣的情況是會在一定程度上降低企業(yè)單位整體的網(wǎng)絡(luò)性能水平的。而合理的通過使用能no ipsource-route來對整個IP直接廣播地址進(jìn)行第一時間上的關(guān)閉，這樣就能夠在很大程度上避免出現(xiàn)上文所闡述的問題情況。

結(jié)論

與此同時，可能時還需要關(guān)閉路由器自身的HTTP設(shè)置，這里主要的原因則是，HTTP在對于使用自身的身份識別協(xié)議過程當(dāng)中，就相當(dāng)于向相關(guān)企業(yè)自身的整體網(wǎng)絡(luò)發(fā)送一個未加密的口令，所以，在必要時，還是需要關(guān)閉路由器自身的HTTP設(shè)置的。

參考文獻(xiàn)

[1]嚴(yán)峻，黃瑞. 基于ACL的包過濾防火墻實驗教學(xué)設(shè)計與實現(xiàn)[J]. 中國教育信息化，2014，14：73-76.

[2]趙清源. 試論路由器的安全配置與安全維護(hù)[J]. 電腦與電信，2008，03：67-68.