劉鑫

【摘要】隨著我國(guó)科學(xué)技術(shù)不斷的發(fā)展進(jìn)步，也在很大程度上推動(dòng)了互聯(lián)網(wǎng)等相關(guān)領(lǐng)域的發(fā)展進(jìn)程，路由器的安全在其中也是占據(jù)著非常重要的地位，本文主要立足于路由器的安全配置與安全維護(hù)，展開(kāi)了深入的研究與分析，以此期望為我國(guó)今后來(lái)對(duì)于相關(guān)的研究問(wèn)題上，提供一些參考性的建議。

【關(guān)鍵詞】路由器；安全配置；安全維護(hù)；分析總結(jié)

1路由器的安全配置概述

要想真正的保證整個(gè)網(wǎng)絡(luò)自身的安全性，并有效的管理好路由器，就一定要增強(qiáng)對(duì)于路由器自身安全配置的重視度。路由器當(dāng)中的主要操作系統(tǒng)則是被稱之為互聯(lián)網(wǎng)絡(luò)操作系統(tǒng)，也被簡(jiǎn)稱之為“IOS”，在針對(duì)于路由器當(dāng)中的各項(xiàng)安全配置上面，主要是通過(guò)以手工的形式，然后將其連接到控制端口的終端當(dāng)中，或者是合理的利用一些Telet會(huì)話等方式上來(lái)對(duì)其進(jìn)行有效的配置，要想保證整個(gè)路由器的安全性，需要對(duì)以下幾點(diǎn)控制加強(qiáng)重視度。

1.1路由器訪問(wèn)控制的安全配置。

在針對(duì)于這點(diǎn)上，主要是1.需要嚴(yán)格的控制好所有相關(guān)的能夠訪問(wèn)路由器的管理人員，在對(duì)于每一次的路由器維護(hù)上，都是需要將其進(jìn)行記錄備案的。2.還需要加強(qiáng)注意的是遠(yuǎn)程訪問(wèn)路由器，在這里建議使用一些訪問(wèn)控制列表或者是使用一些具有高強(qiáng)度的密碼控制等等。3.不僅如此，還需要嚴(yán)格對(duì)CON端口的訪問(wèn)進(jìn)行及時(shí)有效的控制，采取的做法上及時(shí)、合理的給CON口設(shè)置一個(gè)具有高強(qiáng)度的密碼。4.如果不在進(jìn)行使用的AUX端口過(guò)程時(shí)，那么就一定要禁止這個(gè)端口，默認(rèn)是未被啟用。5.本文建議合理采用權(quán)限分級(jí)實(shí)時(shí)策略。

1.2路由器網(wǎng)絡(luò)服務(wù)安全配置概述

在針對(duì)于這里主要是需要對(duì)于以下幾點(diǎn)進(jìn)行注意。1.禁止CDP以及禁止一些其他相關(guān)TCP、UDP Small、Finger等相關(guān)的服務(wù)。2.還需要禁止BOOTP服務(wù)，這里主要是禁止從網(wǎng)絡(luò)在啟動(dòng)的過(guò)程當(dāng)中與著自動(dòng)從網(wǎng)絡(luò)下載初始的一些配置文件上。3.禁止IP Source Routing，這里建議當(dāng)不需要使用ARP-Proxy 服務(wù)器的過(guò)程當(dāng)中，那么就一定要將其進(jìn)行機(jī)制的禁止，這樣做的主要原因則是，路由器的默認(rèn)下它是處于開(kāi)啟的狀態(tài)的。4.本文這里還適當(dāng)?shù)慕ㄗh禁止SNMP協(xié)議服務(wù)，在對(duì)其進(jìn)行禁止的過(guò)程當(dāng)中，也是一定要加強(qiáng)刪除一些關(guān)于SNMP服務(wù)的默認(rèn)配置的重視度的或者是在對(duì)于一些需要被訪問(wèn)的列表上，進(jìn)行及時(shí)有效的過(guò)濾。

1.3路由器路由協(xié)議的安全配置概述

在針對(duì)于這方面，主要是針對(duì)以下幾點(diǎn)需要注意：1.一定要先禁止路由器默認(rèn)啟用狀態(tài)下的ARP-Proxy，這里主要是因?yàn)?，ARP-Proxy極其容易引起整個(gè)路由器發(fā)生內(nèi)部的混亂現(xiàn)象。2.在進(jìn)行啟用OSPE路由協(xié)議認(rèn)證的過(guò)程當(dāng)中，對(duì)于默認(rèn)狀態(tài)下的OSPF認(rèn)證密碼一定要確保是處于明文傳輸?shù)?，這里也可以是合理的通過(guò)啟用MDS認(rèn)證，并將其設(shè)定出具有較強(qiáng)難度性的密鑰。3.這里在對(duì)于路由器路由協(xié)議的安全配置方面上，可以建議啟用IP Unicast Reverse -Path Verification，在啟用IP Unicast Reverse -Path Verification的主要原因則是因?yàn)槟軌蛟谧畲笙薅壬蠙z查原IP地質(zhì)自身的準(zhǔn)確以及有效性，從而才能夠在一定程度上防止IP spooling的發(fā)生，但是其自身也存在著一個(gè)較為突出的弊端，就是，它只能是在已經(jīng)啟用了CEE的路由器上面進(jìn)行使用。

2路由器網(wǎng)絡(luò)病毒防控分析概述

利用路由器自身的網(wǎng)絡(luò)漏洞，所發(fā)起的攻擊事件是經(jīng)常發(fā)生的，當(dāng)路由器自身收到攻擊的過(guò)程當(dāng)中，不光是能夠在很大程度上浪費(fèi)掉整個(gè)CPU的周期性，還能夠在一定程度上導(dǎo)致路由器自身因?yàn)榫W(wǎng)絡(luò)的異常，從而陷于癱瘓之中，所以，是需要對(duì)路由器網(wǎng)絡(luò)病毒漏洞進(jìn)進(jìn)行防控，并采取相對(duì)應(yīng)的安全措施來(lái)維護(hù)路由器網(wǎng)絡(luò)自身的安全性。

在針對(duì)于這里，根據(jù)相關(guān)的調(diào)查資料顯示，大概具有82%的路由器安全網(wǎng)絡(luò)突破實(shí)踐，主要的原因是體現(xiàn)在薄弱的口令方面的，一些不法的人士來(lái)利用弱口令或者是默認(rèn)口令上，就很輕易的對(duì)相關(guān)企業(yè)單位自身的網(wǎng)絡(luò)進(jìn)行攻擊，著也會(huì)在很大程度上造成相關(guān)企業(yè)單位自身的經(jīng)濟(jì)效益損失。針對(duì)的有效防控做法是：加長(zhǎng)口令的長(zhǎng)度，合理的選用30～60天的口令有效期限等措施，就能夠在很大程度上助于防止這種類型的攻擊。

及時(shí)有效的關(guān)閉IP直接廣播，這里主要是因?yàn)镾murf自身的攻擊，是一種拒絕服務(wù)的攻擊，而在面對(duì)于這種攻擊的狀態(tài)下，那么相關(guān)的攻擊者，就能夠有效的利用腳毛的源地址，來(lái)對(duì)于相關(guān)企業(yè)單位自身的網(wǎng)絡(luò)廣播地址，發(fā)送出一個(gè)稱為“ICMP echo”的請(qǐng)求，而這也就意味著，是需要所有的主機(jī)在對(duì)于這個(gè)稱為“ICMP echo”的廣播請(qǐng)求上做出回應(yīng)的，通常來(lái)看，這樣的情況是會(huì)在一定程度上降低企業(yè)單位整體的網(wǎng)絡(luò)性能水平的。而合理的通過(guò)使用能no ipsource-route來(lái)對(duì)整個(gè)IP直接廣播地址進(jìn)行第一時(shí)間上的關(guān)閉，這樣就能夠在很大程度上避免出現(xiàn)上文所闡述的問(wèn)題情況。

結(jié)論

與此同時(shí)，可能時(shí)還需要關(guān)閉路由器自身的HTTP設(shè)置，這里主要的原因則是，HTTP在對(duì)于使用自身的身份識(shí)別協(xié)議過(guò)程當(dāng)中，就相當(dāng)于向相關(guān)企業(yè)自身的整體網(wǎng)絡(luò)發(fā)送一個(gè)未加密的口令，所以，在必要時(shí)，還是需要關(guān)閉路由器自身的HTTP設(shè)置的。

參考文獻(xiàn)

[1]嚴(yán)峻，黃瑞. 基于ACL的包過(guò)濾防火墻實(shí)驗(yàn)教學(xué)設(shè)計(jì)與實(shí)現(xiàn)[J]. 中國(guó)教育信息化，2014，14：73-76.

[2]趙清源. 試論路由器的安全配置與安全維護(hù)[J]. 電腦與電信，2008，03：67-68.