1.為路由器之間的協議交換增加認證功能,提高網絡安全性。
路由器的壹個重要功能是管理和維護路由。目前,具有壹定規模的網絡都采用動態路由協議,如RIP、EIGRP、OSPF、IS-IS、BGP等。當具有相同路由協議和相同區域標識符的路由器加入網絡時,它將學習網絡上的路由信息表。但是,這種方法可能會導致網絡拓撲信息的泄露,或者通過向網絡發送自己的路由信息表來幹擾網絡上正常的路由信息表,嚴重時可能會導致整個網絡癱瘓。這個問題的解決方案是認證網絡中路由器之間交換的路由信息。當路由器配置了身份驗證方法時,它將識別路由信息的發送方和接收方。
2.路由器的物理安全性。
路由器的控制端口是具有特殊權限的端口。如果攻擊者物理接觸路由器,斷電重啟,實施“密碼恢復過程”,然後登錄路由器,就可以完全控制路由器。
3.保護路由器密碼。
在備份路由器配置文件中,即使密碼以加密形式存儲,密碼明文仍可能被破解。壹旦密碼泄露,網絡就不安全。
4.阻止查看路由器診斷信息。
關閉命令如下:no service TCP-small-servers no service UDP-small-servers。
5.阻止查看路由器的當前用戶列表。
關閉命令是:無服務手指。
6.關閉CDP服務。
在OSI第二層協議即鏈路層的基礎上,可以查到對端路由器的壹些配置信息,比如設備平臺、操作系統版本、端口、IP地址等重要信息。您可以使用以下命令關閉此服務:no cdp running或no cdp enable。
7.防止路由器接收標有源路由的數據包,並丟棄帶有源路由選項的數據流。
“IP source-route”是壹個全局配置命令,它允許路由器處理標有源路由選項的數據流。當源路由選項被啟用時,由源路由信息指定的路由使數據流能夠繞過默認路由,並且這樣的數據包可以繞過防火墻。關閉命令如下:無ip源路由。
8.關閉路由器廣播數據包的轉發。
Sumrf D.o.S攻擊利用具有廣播轉發配置的路由器作為反射體,占用網絡資源,甚至造成網絡癱瘓。應該在每個端口上應用“無ip定向廣播”來關閉路由器廣播數據包。
-分頁列。
9.管理HTTP服務。
HTTP服務提供Web管理接口。“沒有知識產權社區xxxxx RW xxXx是訪問控制列表編號SNMP版本2使用MD5數字認證方法。不同的路由器設備配置不同的數字簽名密碼,是提高整體安全性能的有效手段。
總結:
路由器作為整個網絡的關鍵設備,其安全性需要我們特別關註。當然,僅僅通過以上設置方法來保護我們的網絡是遠遠不夠的。我們還需要配合其他設備做好安全防範,把我們的網絡建成壹個安全穩定的信息交流平臺。