2．控制VTY
為了保證安全，任何VTY應(yīng)該僅答應(yīng)指定的協(xié)議建立連結(jié) 。利用transport input命令 。如一個VTY只支持Telnet服務(wù)，可以如下設(shè)置transport input telnet 。假如路由器操作系統(tǒng)支持SSH，最好只支持這個協(xié)議，避免使用明文傳送的Telnet服務(wù) 。如下設(shè)置：transport input ssh 。也可以利用ip Access-class限制訪問VTY的ip地址范圍 。
因為VTYs的數(shù)目有一定的限制，當(dāng)所有的VTYs用完了，就不能再建立遠(yuǎn)程的網(wǎng)絡(luò)連結(jié)了 。這就有可能被利用進行Dos（拒絕服務(wù)攻擊） 。這里攻擊者不必登錄進入，只要建立連結(jié)，到login提示符下就可以，消耗到所有的VTYs 。對于這種攻擊的一個好的防御方法就是利用ip access-class命令限制最后一個VTYs的訪問地址，只向特定治理工作站打開 。而其他的VTYs不限制，從而既保證了靈活性，也保證要害的治理工作不被影響 。另一個方法是利用exec-timeout命令，配置VTY的超時 。避免一個空閑的任務(wù)一直占用VTY 。類似的也可以用service tcp-keepalives-in 保證Tcp建立的入連結(jié)是活動的，從而避免惡意的攻擊或遠(yuǎn)端系統(tǒng)的意外崩潰導(dǎo)致的資源獨占 。更好的保護VTY的方法是關(guān)閉所有非基于IP的訪問，且使用IPSec加密所有的遠(yuǎn)端與路由器的連結(jié) 。
三. 治理服務(wù)配置
許多的用戶利用協(xié)議如Snmp或Http來治理路由器 。但是利用這些協(xié)議治理服務(wù)時，就會存在一定的安全問題 。
1． Snmp
Snmp是最經(jīng)常用于路由器的治理的協(xié)議 。目前使用最多的Snmp 版本1，但是這個版本的Snmp存在著很多的安全問題：
A． 使用明文認(rèn)證，利用"community"字符串 。
B． 在周期性輪循時，重復(fù)的發(fā)送這些"community" 。
C． 采用輕易被欺騙的基于數(shù)據(jù)包的協(xié)議 。
所以盡量采用Snmp V2，因為它采用基于MD5的數(shù)字認(rèn)證方式，并且答應(yīng)對于不同的治理數(shù)據(jù)進行限制 。假如一定要使用Snmp V1，則要仔細(xì)的配置 。如避免使用缺省的community如public，private等 。避免對于每個設(shè)備都用相同的community，區(qū)別和限制只讀和讀寫commnity 。對于Snmp V2，則可能的話對于不同的路由器設(shè)定不同的MD5安全值 。還有就是最好使用訪問列表限定可以使用Snmp治理的范圍 。
2． Http：
最近的路由器操作系統(tǒng)支持Http協(xié)議進行遠(yuǎn)端配置和監(jiān)視 。而針對Http的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護 。這使得用Http進行治理相當(dāng)危險 。
假如選擇使用Http進行治理，最好用ip http access-class命令限定訪問地址且用ip http authentication命令配置認(rèn)證 。最好的http認(rèn)證選擇是利用TACACS 或RADIUS服務(wù)器 。
四. 日志
利用路由器的日志功能對于安全來說是十分重要的 。Cisco路由器支持如下的日志
1． AAA日志：主要收集關(guān)于用戶撥入連結(jié)、登錄、Http訪問、權(quán)限變化等 。這些日志用TACACS 或RADIUS協(xié)議送到認(rèn)證服務(wù)器并本地保存下來 。這些可以用aaa accouting實現(xiàn) 。
2． Snmp trap 日志：發(fā)送系統(tǒng)狀態(tài)的改變到Snmp 治理工作站 。
3． 系統(tǒng)日志：根據(jù)配置記錄大量的系統(tǒng)事件 。并可以將這些日志發(fā)送到下列地方：
　a． 控制臺端口
　b． Syslog 服務(wù)器
　c． TTYs或VTYs
　d． 本地的日志緩存 。
這里最關(guān)心的就是系統(tǒng)日志，缺省的情況下這些日志被送到控制臺端口，通過控制臺監(jiān)視器來觀察系統(tǒng)的運行情況，但是這種方式信息量小且無法記錄下來供以后的查看 。最好是使用syslog服務(wù)器，將日志信息送到這個服務(wù)器保存下來 。
五．路由安全
1．防止偽造：
偽造是攻擊者經(jīng)常使用的方法 。通過路由器的配置可以在一定程度上防止偽造 。通常是利用訪問列表，限制通過的數(shù)據(jù)包的地址范圍 。但是有下面幾點注重的 。

推薦閱讀

• 

  轉(zhuǎn)入+轉(zhuǎn)出 西安公積金轉(zhuǎn)移指南匯總
• 

  山行古詩翻譯及賞析 山行原文翻譯及賞析
• 

  手機出廠時會有劃痕嗎
• 

  南方的冬天如何取暖
• 

  縮陰產(chǎn)品真的可以變緊致嗎？3個推薦一用就緊！
• 

  天津狗不理包子怎么做 天津狗不理包子的做法
• 

  win7電腦windows安全警報如何關(guān)閉 關(guān)閉安全報警方法說明
• 

  阿飛西蘭花炒蝦仁家常做法?
• 

  高速堵車核酸過期了怎么辦-高速堵車核酸檢測可以延時嗎
• 

  心前區(qū)疼痛最常見的原因是 心前區(qū)疼痛最常見的原因是什么
• 

  iOS11和安卓7哪個好,安卓和ios哪個好
• 

  靨組詞靨的組詞靨字怎么組詞
• 

  貓咪流淚怎么了,導(dǎo)致貓咪流淚的原因有很多
• 

  你們的輸入法都會震動嗎？
• 

  在班會上可以做一些什么小游戲
• 

  5升是多少斤

• 路由器的類型
• 選擇安全路由器的標(biāo)準(zhǔn)
• 連接一個終端到Cisco路由器
• 路由器能否取代防火墻？
• 路由器的安全設(shè)計
• 基本的CISCO路由器安全配置
• 路由器的安全與可靠的問題
• 2505路由器HUB端口的安全性配置
• 在低端路由器上實現(xiàn)雙機熱備份和EIGRP的路由調(diào)整實例
• Cisco1600和800系列路由器運行OSPF的注意事項