強化路由器管理安全

■ 河南 劉景云

編者按：網絡管理人員經常使用到路由器或交換機進行網絡管理，這就會涉及到許多相關的管理協議，例如Telnet、SSH、基于HTTP/HTTPS 的Web 訪問以及SNMP 等。網絡設備之所以可以接收和執行管理人員發出的指令，其主要是在管理層面發揮作用。在路由器等設備中，管理層面運行在進程級別，即其需要占用設備的CPU 和內存資源。這些設備在高效處理網絡數據的同時，也會面臨一系列的安全風險。

和設備管理相關的安全威脅

在管理層面會面臨一些不可忽視的安全威脅，例如濫用路由器等設備的可用功能。

在默認情況下，網絡設備會經常開啟一些網管服務，但是管理員對安全性認識不足，沒有為其配置必要的安全認證以及授權操作，導致任何用戶都可以連接上來，進入網絡設備的管理界面，進而隨意執行各種操作。這對于網絡安全威脅很大。

解決的方法是采取一些強有力的認證方式，以及使用RDBC（基于策略和規則的訪問控制）等技術，對設備管理進行授權。這樣，當有人試圖對目標網絡設備進行管理時，當連接請求發送到設備上后，設備就會對其進行安全認證，只有通過認證獲得授權后，該用戶才可以訪問該設備，否則其將會被拒之門外。

值得說明的是，RDBC 還可以針對特定的管理命令（例如Enable 等）進行授權，只允許訪問者使用許可范圍的命令，對于之外的命令則禁止使用，這可以進一步保護設備的安全。

對于網絡設備管理會話的欺騙，同樣是不可忽視的安全威脅。……