《Cisco路由器安全技术.docVIP

Cisco路由器安全技术 （一）路由器物理安全针对网络存在的各种安全隐患，路由器的安全设置通常包括如下几个方面：1. 可靠性与线路安全方面对于路由器来说，可靠性主要体现在接口故障和网络流量增大两种情况下，因此，线路和接口的备份是路由器不可缺少的。当主接口出现故障时，备份接口自动投入工作，保证网络的正常运行；当网络流量增大时，备份接口又可承担负载分担的任务。如使用电话拨号上网方式的备份。2. 身份认证方面路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。3. 访问控制方面(1)对于路由器的访问控制，需要进行口令的分级保护。(2)可以采用基于IP地址的访问控制。(3)可以采用基于用户的访问控制。(4)可以基于时间的访问控制。4. 信息隐藏方面主机与对端通信时，不一定需要用真实身份进行通信。这就要通过路由器的地址转换功能，隐藏内网地址、只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接，网外用户不能通过地址转换直接访问内网资源。5.数据加密方面为了避免因为数据窃听而造成的信息泄漏，需要对所传输的信息进行加密，只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密，即使在Internet上进行传输，也能保证数据的私有性、完整性以及报文内容的真实性。6.攻击探测和防范方面路由器作为一个内部网络对外的接口设备，是攻击者进入内部网络的第一个目标。如果路由器不提供攻击检测、防范功能，或者或者配置不当，将使路由器成为攻击者进入内部网络的一个桥梁。在路由器上提供攻击检测和对路由器进行必要的安全配置，可以防止一部分的网络攻击。7.安全管理方面内部网络与外部网络之间的每一个数据报文都会通过路由器，在路由器上进行报文的审计可以提供网络运行的必要信息，有助于分析网络的运行情况。（二）路由器口令的安全路由器的口令分为端口登录口令、特权用户口令。使用端口登录口令可以登录到路由器，一般只能查看部分信息，而使用特权用户口令登录可以使用全部的查看、配置和管理命令。特权用户口令只能用于使用端口登录口令登录路由器后进入特权模式，不能用于端口登录。1. 口令加密 在路由器默认配置中，口令是以纯文本形式存放的，不利于对保护路由器的安全。在Cisco路由器上可以对口令加密，这样访问路由器的其他人就不能看到这些口令。以CISCO的命令为例：Router (config)# service password-encryption其中Router (config)#为命令提示符，service password-encryption为口令加密服务命令。口令加密服务将加密所有现存的和在以后配置的口令。建议在Cisco网络设备配置中使用这项服务。2. 端口登录口令路由器一般有C*****le(控制台端口)、Aux(辅助端口)和Ethernet口可以登录到路由器，这为网络管理员对路由器进行管理提供了很大的方便，同时也给攻击者提供了可乘之机。因此，首先应该给相应的端口加上口令。要注意口令的长度以及数字、字母、符号是否相混合，以防止攻击者利用口令或默认口令进行攻击。不同的端口可以建立不同的认证方法。下面以Cisco路由器为例简单说明路由器口令的设置。Router (config)# line vty 0 4Router (config-line)# loginRouter (config-line)# exec-timeout 2 30Router (config-line)# password abc111Router (config-line)# exitRouter (config)-# line aux 0Router (config-line)# loginRouter (config-line)# exec-timeout 2 30Router (config-line)# password abc222Router (config-line)# exitRouter (config)# line con 0Router (config-line)# exec-timeout 2 30Router (config-line)# password abc333Router (config-line)# exit这样用户只有输入相应端口的口令才能从路由器的C*****le、Aux或Ethernet口登录路由器。下面分别对配置中的命令进行说明：line vty 0 4命令用来保护在网络中用来进行telnet访问的虚拟终端行。由于路由器访问有不止一个vty行，所以在vty关键字后面有两个数