2．控制VTY
為了保證安全，任何VTY應該僅答應指定的協(xié)議建立連結(jié) 。利用transport;input命令 。如一個VTY只支持Telnet服務，可以如下設置transport;input;telnet 。假如路由器操作系統(tǒng)支持SSH，最好只支持這個協(xié)議，避免使用明文傳送的Telnet服務 。如下設置：transport;input;ssh 。也可以利用ip;Access-class限制訪問VTY的ip地址范圍 。
因為VTYs的數(shù)目有一定的限制，當所有的VTYs用完了，就不能再建立遠程的網(wǎng)絡連結(jié)了 。這就有可能被利用進行Dos（拒絕服務攻擊） 。這里攻擊者不必登錄進入，只要建立連結(jié)，到login提示符下就可以，消耗到所有的VTYs 。對于這種攻擊的一個好的防御方法就是利用ip;access-class命令限制最后一個VTYs的訪問地址，只向特定治理工作站打開 。而其他的VTYs不限制，從而既保證了靈活性，也保證要害的治理工作不被影響 。另一個方法是利用exec-timeout命令，配置VTY的超時 。避免一個空閑的任務一直占用VTY 。類似的也可以用service;tcp-keepalives-in;保證Tcp建立的入連結(jié)是活動的，從而避免惡意的攻擊或遠端系統(tǒng)的意外崩潰導致的資源獨占 。更好的保護VTY的方法是關閉所有非基于IP的訪問，且使用IPSec加密所有的遠端與路由器的連結(jié) 。
三.;治理服務配置
許多的用戶利用協(xié)議如Snmp或Http來治理路由器 。但是利用這些協(xié)議治理服務時，就會存在一定的安全問題 。
1．;Snmp
Snmp是最經(jīng)常用于路由器的治理的協(xié)議 。目前使用最多的Snmp;版本1，但是這個版本的Snmp存在著很多的安全問題：
A．;使用明文認證，利用"community"字符串 。
B．;在周期性輪循時，重復的發(fā)送這些"community" 。
C．;采用輕易被欺騙的基于數(shù)據(jù)包的協(xié)議 。
所以盡量采用Snmp;V2，因為它采用基于MD5的數(shù)字認證方式，并且答應對于不同的治理數(shù)據(jù)進行限制 。假如一定要使用Snmp;V1，則要仔細的配置 。如避免使用缺省的community如public，private等 。避免對于每個設備都用相同的community，區(qū)別和限制只讀和讀寫commnity 。對于Snmp;V2，則可能的話對于不同的路由器設定不同的MD5安全值 。還有就是最好使用訪問列表限定可以使用Snmp治理的范圍 。
2．;Http：
最近的路由器操作系統(tǒng)支持Http協(xié)議進行遠端配置和監(jiān)視 。而針對Http的認證就相當于在網(wǎng)絡上發(fā)送明文且對于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護 。這使得用Http進行治理相當危險 。
假如選擇使用Http進行治理，最好用ip;http;access-class命令限定訪問地址且用ip;http;authentication命令配置認證 。最好的http認證選擇是利用TACACS 或RADIUS服務器 。
四.;日志
利用路由器的日志功能對于安全來說是十分重要的 。Cisco路由器支持如下的日志
1．;AAA日志：主要收集關于用戶撥入連結(jié)、登錄、Http訪問、權限變化等 。這些日志用TACACS 或RADIUS協(xié)議送到認證服務器并本地保存下來 。這些可以用aaa;accouting實現(xiàn) 。
2．;Snmp;trap;日志：發(fā)送系統(tǒng)狀態(tài)的改變到Snmp;治理工作站 。
3．;系統(tǒng)日志：根據(jù)配置記錄大量的系統(tǒng)事件 。并可以將這些日志發(fā)送到下列地方：
　a．;控制臺端口;
　b．;Syslog;服務器;
　c．;TTYs或VTYs
　d．;本地的日志緩存 。
這里最關心的就是系統(tǒng)日志，缺省的情況下這些日志被送到控制臺端口，通過控制臺監(jiān)視器來觀察系統(tǒng)的運行情況，但是這種方式信息量小且無法記錄下來供以后的查看 。最好是使用syslog服務器，將日志信息送到這個服務器保存下來 。
五．路由安全
1．防止偽造：
偽造是攻擊者經(jīng)常使用的方法 。通過路由器的配置可以在一定程度上防止偽造 。通常是利用訪問列表，限制通過的數(shù)據(jù)包的地址范圍 。但是有下面幾點注重的 。

推薦閱讀

• 

  描寫蘇州的詩句
• 

  榴蓮一般怎么存放
• 

  為什么收環(huán)保費
• 

  銀監(jiān)局是什么單位
• 

  什么人適合喝覆盆子茶 吃覆盆子茶的好處有哪些
• 

  不銹鋼水杯放檸檬可以嗎 不銹鋼水杯放檸檬可以嗎嗎
• 

  靈芝怎么保存 靈芝的保存方法
• 

  pos表示什么意思
• 

  手機上恢復解散QQ群步驟
• 

  為什么叫日寇
• 

  如何評價99元無限流量卡 聯(lián)通99元無限流量卡限速
• 

  真武傳什么職業(yè)好玩,天涯明月刀真武連招
• 

  端午節(jié)簡單又漂亮圖畫，端午節(jié)應該怎么畫
• 

  蘋果下載什么軟件可以設置鈴聲 蘋果手機鈴聲設置下載什么軟件
• 

  iPhone13為什么投屏不了
• 

  砂紙和砂布的使用及有規(guī)格

• 人生自古誰無死的作者是誰 《過零丁洋》原文
• 黃瓜褐斑病的防治技術
• 趙弈欽鳳囚凰演的是誰
• 華為路由A2可以限速嗎
• 去水印秀的具體使用步驟介紹
• PPPoE實例:2600路由器接ADSL Modem
• 法租界范圍
• 一百以內(nèi)的質(zhì)數(shù) 質(zhì)數(shù)的算術定理
• 離太陽最近的行星 離太陽最近的行星是哪個
• 千禧果和圣女果的區(qū)別