目前大多數(shù)的企事業(yè)單位和部門連Internet網(wǎng)，通常都是一臺(tái)路由器與ISP連堅(jiān)固現(xiàn) 。這臺(tái)路由器就是溝通外部Internet和內(nèi)部網(wǎng)絡(luò)的橋梁，假如這臺(tái)路由器能夠合理進(jìn)行安全設(shè)置，那么就可以對內(nèi)部的網(wǎng)絡(luò)提供一定安全性或?qū)σ延械陌踩嗔艘粚悠琳?。現(xiàn)在大多數(shù)的路由器都是Cisco公司的產(chǎn)品或與其功能近似，本文在這里就針對Cisco路由器的安全配置進(jìn)行治理 。
考慮到路由器的作用和位置，路由器配置的好壞不僅影響本身的安全也影響整個(gè)網(wǎng)絡(luò)的安全 。目前路由器（以Cisco為例）本身也都帶有一定的安全功能，如訪問列表、加密等，但是在缺省配置時(shí)，這些功能大多數(shù)都是關(guān)閉的 。需要進(jìn)行手工配置 。怎樣的配置才能最大的滿足安全的需要，且不降低網(wǎng)絡(luò)的性能？本文從以下幾個(gè)部分分別加以說明：
一. 口令治理
口令是路由器是用來防止對于路由器的非授權(quán)訪問的主要手段，是路由器本身安全的一部分 。最好的口令處理方法是將這些口令保存在TACACS 或RADIUS認(rèn)證服務(wù)器上 。但是幾乎每一個(gè)路由器都要有一個(gè)本地配置口令進(jìn)行權(quán)限訪問 。如何維護(hù)這部分的安全？
1． 使用enable secret
enable secret 命令用于設(shè)定具有治理員權(quán)限的口令 。并且假如沒有enable secret，則當(dāng)一個(gè)口令是為控制臺(tái)TTY設(shè)置的，這個(gè)口令也能用于遠(yuǎn)程訪問 。這種情況是不希望的 。還有一點(diǎn)就是老的系統(tǒng)采用的是enable passWord，雖然功能相似，但是enable password采用的加密算法比較弱 。
2． 使用service password-encryption
這條命令用于對存儲(chǔ)在配置文件中的所有口令和類似數(shù)據(jù)（如CHAP）進(jìn)行加密 。避免當(dāng)配置文件被不懷好意者看見，從而獲得這些數(shù)據(jù)的明文 。但是service password-encrypation的加密算法是一個(gè)簡單的維吉尼亞加密，很輕易被破譯 。這主要是針對enable password命令設(shè)置的口令 。而enable secret命令采用的是MD5算法，這種算法很難進(jìn)行破譯的 。但是這種MD5算法對于字典式攻擊還是沒有辦法 。
所以不要以為加密了就可以放心了，最好的方法就是選擇一個(gè)長的口令字，避免配置文件被外界得到 。且設(shè)定enable secret和service password-encryption 。
二. 控制交互式訪問
任何人登錄到路由器上都能夠顯示一些重要的配置信息 。一個(gè)攻擊者可以將路由器作為攻擊的中轉(zhuǎn)站 。所以需要正確控制路由器的登錄訪問 。盡管大部分的登錄訪問缺省都是禁止的 。但是有一些例外，如直連的控制臺(tái)終端等 。
控制臺(tái)端口具有非凡的權(quán)限 。非凡注重的是，當(dāng)路由器重啟動(dòng)的開始幾秒假如發(fā)送一個(gè)Break信號(hào)到控制臺(tái)端口，則利用口令恢復(fù)程式可以很輕易控制整個(gè)系統(tǒng) 。這樣假如一個(gè)攻擊者盡管他沒有正常的訪問權(quán)限，但是具有系統(tǒng)重啟（切斷電源或系統(tǒng)崩潰）和訪問控制端口（通過直連終端、Modem、終端服務(wù)器）的能力就可以控制整個(gè)系統(tǒng) 。所以必須保證所有連結(jié)控制端口的訪問的安全性 。
除了通過控制臺(tái)登錄路由器外還有很多的方法，根據(jù)配置和操作系統(tǒng)版本的不同，可以支持如Telnet、rlogin、Ssh以及非基于IP的網(wǎng)絡(luò)協(xié)議如LAT、MOP、X.29和V.120等或者M(jìn)odem撥號(hào) 。所有這些都涉及到TTY，本地的異步終端和撥號(hào)Modem用標(biāo)準(zhǔn)的"TTYs" 。遠(yuǎn)地的網(wǎng)絡(luò)連結(jié)不管采用什么協(xié)議都是虛擬的TTYs，即"VTYs" 。要控制路由器的訪問，最好就是控制這些TTYs或VTYs，加上一些認(rèn)證或利用login、no password命令禁止訪問 。
1．控制TTY
缺省的情況下一個(gè)遠(yuǎn)端用戶可以連結(jié)到一個(gè)TTY，稱為"反向Telnet"，答應(yīng)遠(yuǎn)端用戶和連接到這個(gè)TTY上的終端或Modem進(jìn)行交互 。但是這些特征答應(yīng)一個(gè)遠(yuǎn)端用戶連接到一個(gè)本地的異步終端口或一個(gè)撥入的Modem端口，從而構(gòu)造一個(gè)假的登錄過程來偷盜口令或其他的非法活動(dòng) 。所以最好禁止這項(xiàng)功能，可以采用transport input none設(shè)置任何異步或Modem不接收來自網(wǎng)絡(luò)用戶的連結(jié) 。假如可能，不要用相同的Modem撥入和撥出，且禁止反向Telnet撥入 。

推薦閱讀

• 

  江蘇志愿服務(wù)記錄證明出具條件一覽
• 

  山茶花的養(yǎng)殖方法，盆栽山茶花的養(yǎng)殖方法？
• 

  香蕉功效 香蕉的功效與作用
• 

  新農(nóng)合哪些人可以免繳費(fèi)
• 

  流放者柯南解除手環(huán)方法介紹 流放者柯南怎么解除手環(huán)
• 

  epic方舟中文怎么調(diào)
• 

  茶花養(yǎng)多久才能開花
• 

  樓房頂層怎么隔熱
• 

  給你小心心是什么意思
• 

  查找Win10應(yīng)用程序安裝路徑的方法
• 

  從親閨密語內(nèi)衣開始,親閨蜜語內(nèi)衣什么價(jià)位
• 

  小編分享vivos10pro如何開啟藍(lán)牙。
• 

  東極初中作文
• 

  酒店房間之間空的是啥意思,為什么有的賓館一到凌晨
• 

  怎樣將中國傳統(tǒng)文化運(yùn)用到網(wǎng)店中
• 

  為什么手機(jī)一直充電充不滿

• 路由器的類型
• 選擇安全路由器的標(biāo)準(zhǔn)
• 連接一個(gè)終端到Cisco路由器
• 路由器能否取代防火墻？
• 路由器的安全設(shè)計(jì)
• 基本的CISCO路由器安全配置
• 路由器的安全與可靠的問題
• 2505路由器HUB端口的安全性配置
• 在低端路由器上實(shí)現(xiàn)雙機(jī)熱備份和EIGRP的路由調(diào)整實(shí)例
• Cisco1600和800系列路由器運(yùn)行OSPF的注意事項(xiàng)