日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

Cisco路由器安全配置( 四 )

云知道


2. 路由器本身保護(hù):
路由器雖然能保護(hù)網(wǎng)絡(luò)中其他部分避免過(guò)載,但是本身也需要保護(hù)不受到攻擊 。應(yīng)有的安全配置有:
a. 采用CEF交換模式而不是傳統(tǒng)的路由表Cache方式,因?yàn)椴捎肅EF方式,對(duì)于出現(xiàn)的新目的地不需要構(gòu)筑路由Cache入口 。所以這種方式對(duì)于SYN攻擊能夠更好的防止(因?yàn)镾YN攻擊用的是隨機(jī)的源地址)
b. 使用scheduler interval 或scheduler allocate 。因?yàn)楫?dāng)大量的數(shù)據(jù)包要路由器快速轉(zhuǎn)發(fā)情況下,可能路由器花費(fèi)大量的時(shí)間處理網(wǎng)絡(luò)接口的中斷,導(dǎo)致其他的任務(wù)無(wú)法正常工作 。為了避免這種情況,可以使用scheduler interval或scheduler allocate命令路由器在規(guī)定的時(shí)間間隔內(nèi)停止處理中斷去處理其他事件 。這種方式的副作用很小,不會(huì)影響網(wǎng)絡(luò)的正常傳輸 。
c. 設(shè)定缺省路由到空設(shè)備(ip route 0.0.0.0 0.0.0.0 null 0 255):
這個(gè)設(shè)置可以很好拋棄掉不可達(dá)的目的地值得數(shù)據(jù)包,增加路由器的性能 。
七.服務(wù)治理
路由器通常都提供很多的服務(wù)如Finger、Telnet等,但是這些服務(wù)中一些能夠被攻擊者利用,所以最好禁止所有不需要的服務(wù) 。
1.Cisco路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如:echo、chargen和discard 。這些服務(wù)很少被使用,而且輕易被攻擊者利用來(lái)越過(guò)包過(guò)濾機(jī)制 。如echo服務(wù),就可以被攻擊者利用它發(fā)送數(shù)據(jù)包,似乎這些數(shù)據(jù)包來(lái)自路由器本身 。所以最好禁止這些服務(wù),可以利用no service tcp-small-servers 和 no service udp-small-servers命令來(lái)實(shí)現(xiàn) 。
2.Finger、NTP、CDP:
Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊 。NTP不是十分危險(xiǎn)的,但是假如沒(méi)有一個(gè)很好的認(rèn)證,則會(huì)影響路由器正確時(shí)間,導(dǎo)致日志和其他任務(wù)出錯(cuò) 。CDP可能被攻擊者利用獲得路由器的版本等信息,從而進(jìn)行攻擊 。所以對(duì)于上面的幾種服務(wù)假如沒(méi)有十分必要的需求,最好禁止他們 ??梢杂胣o service finger、no ntp enabel、no cdp running(或no cdp enable )實(shí)現(xiàn) 。
通過(guò)采用和遵循上面的配置就可以實(shí)現(xiàn)一個(gè)路由器的基本的安全,但是這對(duì)于一個(gè)嚴(yán)格要求的安全環(huán)境是不夠的,因?yàn)檫€有很多的攻擊無(wú)法從路由器上過(guò)濾,且對(duì)于來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊,路由器是無(wú)能力進(jìn)行保證的 。但是通過(guò)一個(gè)路由器的安全配置,能夠?yàn)榫W(wǎng)絡(luò)的安全建立一個(gè)外部的屏障,減輕了內(nèi)部防火墻的負(fù)擔(dān),并且保證了路由器本身的安全 。所以路由器的安全配置還是十分重要 。

推薦閱讀