淺談路由器安全

　　好的路由器本身會(huì )采取一個(gè)好的安全機制來(lái)保護自己，但是僅此一點(diǎn)是遠遠不夠的。保護路由器安全還需要網(wǎng)管員在配置和管理路由器過(guò)程中采取相應的安全措施。下面是小編整理的路由器安全相關(guān)知識，希望對你有幫助!

　　堵住安全漏洞

　　限制系統物理訪(fǎng)問(wèn)是確保路由器安全的最有效方法之一。限制系統物理訪(fǎng)問(wèn)的一種方法就是將控制臺和終端會(huì )話(huà)配置成在較短閑置時(shí)間后自動(dòng)退出系統。避免將調制解調器連接至路由器的輔助端口也很重要。一旦限制了路由器的物理訪(fǎng)問(wèn)，用戶(hù)一定要確保路由器的安全補丁是最新的。漏洞常常是在供應商發(fā)行補丁之前被披露，這就使得黑客搶在供應商發(fā)行補丁之前利用受影響的系統，這需要引起用戶(hù)的關(guān)注。

　　避免身份危機

　　黑客常常利用弱口令或默認口令進(jìn)行攻擊。加長(cháng)口令、選用30到60天的口令有效期等措施有助于防止這類(lèi)漏洞。另外，一旦重要的IT員工辭職，用戶(hù)應該立即更換口令。用戶(hù)應該啟用路由器上的口令加密功能，這樣即使黑客能夠瀏覽系統的配置文件，他仍然需要破譯密文口令。實(shí)施合理的驗證控制以便路由器安全地傳輸證書(shū)。在大多數路由器上，用戶(hù)可以配置一些協(xié)議，如遠程驗證撥入用戶(hù)服務(wù)，這樣就能使用這些協(xié)議結合驗證服務(wù)器提供經(jīng)過(guò)加密、驗證的路由器訪(fǎng)問(wèn)。驗證控制可以將用戶(hù)的驗證請求轉發(fā)給通常在后端網(wǎng)絡(luò )上的驗證服務(wù)器。驗證服務(wù)器還可以要求用戶(hù)使用雙因素驗證，以此加強驗證系統。雙因素的前者是軟件或硬件的令牌生成部分，后者則是用戶(hù)身份和令牌通行碼。其他驗證解決方案涉及在安全外殼(SSH)或IPSec內傳送安全證書(shū)。

　　禁用不必要服務(wù)

　　擁有眾多路由服務(wù)是件好事，但近來(lái)許多安全事件都凸顯了禁用不需要本地服務(wù)的重要性。需要注意的是，禁用路由器上的CDP可能會(huì )影響路由器的性能。另一個(gè)需要用戶(hù)考慮的因素是定時(shí)。定時(shí)對有效操作網(wǎng)絡(luò )是必不可少的。即使用戶(hù)確保了部署期間時(shí)間同步，經(jīng)過(guò)一段時(shí)間后，時(shí)鐘仍有可能逐漸失去同步。用戶(hù)可以利用名為網(wǎng)絡(luò )時(shí)間協(xié)議(NTP)的服務(wù)，對照有效準確的時(shí)間源以確保網(wǎng)絡(luò )上的設備時(shí)針同步。不過(guò)，確保網(wǎng)絡(luò )設備時(shí)鐘同步的最佳方式不是通過(guò)路由器，而是在防火墻保護的非軍事區(DMZ)的網(wǎng)絡(luò )區段放一臺NTP服務(wù)器，將該服務(wù)器配置成僅允許向外面的可信公共時(shí)間源提出時(shí)間請求。在路由器上，用戶(hù)很少需要運行其他服務(wù)，如SNMP和DHCP。只有絕對必要的時(shí)候才使用這些服務(wù)。

　　限制邏輯訪(fǎng)問(wèn)

　　限制邏輯訪(fǎng)問(wèn)主要是借助于合理處置訪(fǎng)問(wèn)控制列表。限制遠程終端會(huì )話(huà)有助于防止黑客獲得系統邏輯訪(fǎng)問(wèn)。SSH是優(yōu)先的邏輯訪(fǎng)問(wèn)方法，但如果無(wú)法避免Telnet，不妨使用終端訪(fǎng)問(wèn)控制，以限制只能訪(fǎng)問(wèn)可信主機。因此，用戶(hù)需要給Telnet在路由器上使用的虛擬終端端口添加一份訪(fǎng)問(wèn)列表。

　　控制消息協(xié)議(ICMP)有助于排除故障，但也為攻擊者提供了用來(lái)瀏覽網(wǎng)絡(luò )設備、確定本地時(shí)間戳和網(wǎng)絡(luò )掩碼以及對OS修正版本作出推測的信息。為了防止黑客搜集上述信息，只允許以下類(lèi)型的ICMP流量進(jìn)入用戶(hù)網(wǎng)絡(luò )：ICMP網(wǎng)無(wú)法到達的、主機無(wú)法到達的、端口無(wú)法到達的、包太大的、源抑制的以及超出生存時(shí)間(TTL)的。此外，邏輯訪(fǎng)問(wèn)控制還應禁止ICMP流量以外的所有流量。

　　使用入站訪(fǎng)問(wèn)控制將特定服務(wù)引導至對應的服務(wù)器。例如，只允許SMTP流量進(jìn)入郵件服務(wù)器;DNS流量進(jìn)入DSN服務(wù)器;通過(guò)安全套接協(xié)議層(SSL)的HTTP(HTTP/S)流量進(jìn)入Web服務(wù)器。為了避免路由器成為DoS攻擊目標，用戶(hù)應該拒絕以下流量進(jìn)入：沒(méi)有IP地址的包、采用本地主機地址、廣播地址、多播地址以及任何假冒的內部地址的包。雖然用戶(hù)無(wú)法杜絕DoS攻擊，但用戶(hù)可以限制DoS的危害。用戶(hù)可以采取增加SYN ACK隊列長(cháng)度、縮短ACK超時(shí)等措施來(lái)保護路由器免受TCP SYN攻擊。

　　用戶(hù)還可以利用出站訪(fǎng)問(wèn)控制限制來(lái)自網(wǎng)絡(luò )內部的流量。這種控制可以防止內部主機發(fā)送ICMP流量，只允許有效的源地址包離開(kāi)網(wǎng)絡(luò )。這有助于防止IP地址欺騙，減小黑客利用用戶(hù)系統攻擊另一站點(diǎn)的可能性。

【淺談路由器安全】相關(guān)文章：

淺談如何設置迅捷路由器09-13

淺談如何加密無(wú)線(xiàn)路由器08-15

淺談長(cháng)城寬帶路由器的設置方法08-27

淺談如何設置路由器上網(wǎng)時(shí)間長(cháng)短08-20

增強路由器安全的技巧10-04

思科路由器的安全配置06-03

關(guān)于路由器安全隱患10-16

加強路由器安全的設置方法10-13

Cisco路由器安全配置命令10-27

淺析路由器安全設置步驟10-16