路由器安全设置十四步

1。对于路由器间的协议交换,增加了认证功能,提高了网络的安全性。



路由器的一个重要功能是路由管理和维护。目前,一个大型网络采用动态路由协议,这是常用的RIP,OSPF,EIGRP,:IS-IS、BGP等。当一个具有相同的路由协议和相同的区域标识符路由器加入网络,路由信息表在网络上会学到的。但是,这种方法可能会导致网络拓扑信息泄漏,或者它也可以发送信息表的网络在网络上扰乱正常的路由信息表,这可以使整个网络陷入瘫痪严重。解决这个问题的办法是对网络中的路由器之间的路由信息交换。当路由器配置的身份验证方法,路由信息由接收机确定。



2。路由器的物理安全性。



路由器控制端口是一个具有特殊特权的端口。如果攻击者与路由器进行物理接触,则在断电后将重新启动,实现密码修复过程,然后登录路由器完全控制路由器。



三.保护路由器密码。



在备份路由器配置文件中,密码仍然以加密的形式存储,密码仍有可能被破解,一旦密码泄露,网络就不安全了。



4。停止查看路由器的诊断信息。



关闭命令如下:没有服务的TCP小服务器没有UDP服务的小型服务器



5。阻止当前路由器用户列表的视图。



关闭命令是:没有服务手指。



6。关闭CDP服务。



在OSI两层协议链路层的基础上,我们可以找到终端路由器的一些配置信息,如设备平台、操作系统版本、端口、IP地址等重要信息,可以使用命令:不运行CDP或不启用CDP。



7。防止路由器接收带有源路由标签的数据包,用源路由选项丢弃数据流。



IP源route全局配置命令,允许路由器和源路由选项处理数据流。在源路由选项启用的源路由信息中指定的路径使数据流交叉的默认路由,可以绕过防火墙,关闭命令如下:没有IP源路线。





8。关闭路由器广播包的转发。



sumrf这里攻击使用路由器广播转发配置作为反射板,占用网络资源,甚至造成网络瘫痪。应适用于各港口;没有IP定向broadcast关闭路由器广播包。



9。管理http服务。



HTTP服务提供的Web管理界面。Ldquo;没有IP的HTTP server你可以停止HTTP服务。如果我们必须使用HTTP,我们必须使用访问列表IP访问class指挥,严格过滤允许的IP地址,并使用IP命令来设置HTTP认证,授权极限。



10。反对欺骗(欺骗)攻击。



使用访问控制列表,过滤掉所有目标地址从内部网络的网络地址和索赔,其实从外包装。路由器端口配置:IP访问列表如下组数的访问控制列表:访问列表号拒绝ICMP任何重定向访问列表号否认IP 127.0.0.0 0.255.255.255任何访问列表编号否认IP 224.0.0.0 31.255.255.255任何访问列表号否认主机IP地址0.0.0.0任何注:这四个命令将过滤后的数据在BOOTP和DHCP应用软件包,用于类似的环境有充分的认识。



11。防止数据包嗅探。



黑客通常安装嗅探软件已经侵入计算机网络,监控网络数据流,并窃取密码,包括SNMP通信密码,包括路由器的登录和特权密码,这使得网络管理员能够保证网络安全的困难。不登录非路由器加密协议在不可靠的网络。如果路由器支持的加密协议,使用SSH或基于Kerberos的Telnet,或使用IPSec加密所有的路由器的管理流。



12。检查数据流路径的合法性。



使用RPF(逆向路径转发)逆向路径转发,因为攻击者的地址是非法的,所以攻击数据包被丢弃,从而抵制欺骗攻击的目的。为反向路径转发RPF的配置命令:IP验证单播RPF。注:支持CEF第一(Cisco Express Forwarding)快转发。



13。防止SYN攻击。



目前,一些路由器软件平台可以打开tcp侦听功能,防止SYN攻击,将工作模式分为监听和监听两部分。默认是拦截模式。(拦截模式:路由器响应到达的SYN请求,并发送一个SYN-ACK消息而不是服务器,然后等待客户确认。如果收到ACK,原始SYN报文发送到服务器。监控模式:路由器允许SYN请求直接到达服务器。如果会话30秒钟内没有建立,路由器将发送一个RST清除连接。首先,该访问列表配置)打开需要保护的IP地址访问列表{ } { } TCP允许1-199否认任何目的通配符和TCP IP的TCP拦截模式,开放拦截侦听TCP拦截列表:IP访问列表号tcp拦截的模式



14。使用安全的SNMP管理方案。



SNMP协议被广泛用于监控和routers.snmp版本1配置安全性低,不适合管理和跨越公共网络应用。使用访问控制列表只允许访问从一个特定的工作站通过此功能增强SNMP服务的安全性能。配置命令:SNMP服务器社区xxxxx RW XX;XX是访问控制列表数SNMP版本2使用MD5数字身份认证的方法。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。



uff1a概述



作为整个网络的关键设备,其安全问题需要我们特别注意它。当然,如果我们仅仅依靠以上设置的方法来保护我们的网络是远远不够的,我们需要与其他设备配合,共同做好安全防范,从而建立我们的网络安全稳定的信息交换平台。