欢迎到
路由器配置前咱们要知晓路由器是信息网络中实现网络互联的主要 装备,它将不一样网络或网段之间的数据信息实行 “翻译”,以实现网络互联和资源共享。下面就来看路由器的高速配置要领:
堵住安全漏洞
路由器同计算机及其他网络装备一样,自身也存在一些缺陷和漏洞。使用路由器自身缺点实行网络攻击,是黑客常用的手段。因此,咱们必须在堵住路由器安全漏洞上采取必要的方法。限定系统物理访问是最有效的要领之一。它是将控制台和终端会话路由器配置成在较短闲置时间后,自动退出系统,以堵住路由器的安全漏洞,保卫整个网络的安全。此外,应防止将调制解调器连接到路由器的辅助端口。
防止身份危险
黑客常常使用弱口令或默认口令实行攻击。加长口令,有助于防御这类攻击。当网络维护人员调离或退出本岗位时,应立即更换口令。另外,还应启用路由器的口令加密功能。在大多数的路由器上,能够路由器配置一些协议,如远程验证拨入用户服务,结合验证服务器提供经历加密、验证的路由器访问,以增强路由器的安全系数,提高整个网络的安全性。
限定逻辑访问
限定逻辑访问,首要是借助于合理处置访问控制列表,限定远程终端会话,有助于防止 黑客取得系统逻辑访问。SSH是优先的逻辑访问要领,但假如无法 防止 TELNET,不妨运用终端访问控制,以限定只好访问可信主机。因此,须要给TELNET在路由器上运用的虚拟终端端口添加一份访问列表。
控制消息协议ICMP有助于排除故障,但也为攻击者提供了用来阅读网络装备、确定时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止 黑客搜集上述信息,只准许以下类型的ICMP流量进入网络:ICMP网无法 到达的、主机无法 到达的、端口无法 到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外,逻辑访问控制还应禁止ICMP流量以外的所有流量。
运用入站访问控制,可将特定服务器引导至对应的服务器。比方,只准许 SMTP流量进入邮件服务器;DNS流量进入DNS服务器;议决安全套接协议层(SSL)的HTTP(HTTPS)流量进入WEB服务器。为了防止路由器成为DoS攻击目标,应拒绝以下流量进入:没有IP地址的包,采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。还能够采取添加 SYM ACK队列长度、缩短ACK超时等方法,来保卫路由器免受TCP SYN攻击。
监控路由器配置修改
在对路由器配置实行改动时,须要对本来行监控。假如运用了SNMP,则必须要挑选功能强悍的共用字符串,最好是运用提供消息加密功能的 SNMP。假如不议决 SNMP维护而对装备实行远程路由器配置,最好将SNMP装备路由器配置成只读,拒绝对这些装备实行写访问。这样,能防止 黑客改动或关上接口。此外,还要将系统日志信息从路由器发送至指定服务器。同时,为进一步确保安全维护,还可运用 SSH等加密机制,使用 SSH与路由器建立加密的远程会话。
实施路由器配置维护
配置维护的一个主要部分,就是确保网络运用合理的路由器协议,防止运用路由信息协议(RIP)。因为RIP很基本 被欺骗而接受不正当的路由更新。所以,必须实施控制存放、检索及更新路由器配置,以便在新配置出现疑问时能更换、重装或还原到原先的路由器配置。
另外,还能够议决两种要领,将配置文档存放在支撑命令行接口(CLT)的路由器平台上。一种是运行脚本,脚本能在路由器配置服务器到路由器之间建立SSH会话、登录系统、关上控制器日志功能、显示配置、保存路由器配置到本地文件以及退出系统。另一种是在路由器配置服务器到路由器之间建立IPSEC遂道,议决该安全遂道内的TFTP,将路由器配置文件copy 到服务器。同时,还应明确哪些人员能够修改路由器配置、何时实行修改以及怎么实行修改,在实行任何修改之前,制定细致的逆序操作规程。
路由器配置的要领您议决以上的内容应该有所明白了,这些都是基本知识,很基本就会掌握的,期盼读者能够掌握。