大学课程《互联网金融信息安全》PPT教学课件：2.7 网络设备的安全.pptxVIP

网络系统设备安全分析

2.1.4网络设备的安全

2.1.4网络设备的安全

路由器是网络的神经中枢，是众多网络设备的重要一员，它担负着网间互联、路由走向、协议配置和网络安全等重任，是信息出入网络的必经之路。广域网就是靠一个个路由器连接起来组成的，局域网中已经普遍应用到了路由器，在很多企事业单位，已经用路由器来接入网络进行数据通信，可以说，路由器现在已经成为大众化的网络设备了。

路由器在网络的应用和安全方面具有极重要的地位。随着路由器应用的广泛普及，它的安全性也成为一个热门话题。路由器的安全与否，直接关系到网络是否安全。

2.1.4.1路由器安全

2.1.4网络设备的安全

1.用户口令安全

路由器有普通用户和特权用户之分，口令级别有十多种。如果使用明码在浏览或修改配置时容易被其他无关人员窥视到。可在全局配置模式下使用servicepassword-encryption命令（不同品牌路由器的命令会有所不同）进行配置，该命令可将明文密码变为密文密码，从而保证用户口令的安全。该命令具有不可逆性，即它可将明文密码变为密文密码，但不能将密文密码变为明文密码。

2.1.4.1路由器安全

2.1.4网络设备的安全

2.配置登录安全

路由器的配置一般有控制口（Console）配置、Telnet配置和SNMP配置三种方法。控制口配置主要用于初始配置，使用中英文终端或Windows的超级终端；Telnet配置方法一般用于远程配置，但由于Telnet是明文传输的，很可能被非法窃取而泄露路由器的特权密码，从而会影响安全；SNMP的配置则比较麻烦，故使用较少。

为了保证使用Telnet配置路由器的安全，网络管理员可以采用相应的技术措施，仅让路由器管理员的工作站登录而不让其他机器登录到路由器，可以保证路由器配置的安全。

2.1.4.1路由器安全

2.1.4网络设备的安全

使用IP标准访问列表控制语句，在路由器的全局配置模式下，输入:

#acess-list20permithost192.120.12.20

该命令表示只允许IP为192.120.12.20的主机登录到路由器。为了保证192.120.12.20这一IP地址不被其他机器假冒，可以在全局配置模式下输入:

#arp192.120.12.20xxxx.xxxx.xxxxarpa

此命令可将该IP地址与其网卡物理地址绑定，xxxx.xxxx.xxxx为机器的网卡物理地址。这样就可以保证在用Telnet配置路由器时不会泄露路由器的口令。

2.1.4.1路由器安全

2.1.4网络设备的安全

3.路由器访问控制安全策略

在利用路由器进行访问控制时可考虑如下安全策略。

（1）严格控制可以访问路由器的管理员；对路由器的任何一次维护都需要记录备案，要有完备的路由器的安全访问和维护记录日志。

（2）建议不要远程访问路由器。若需要远程访问路由器，则应使用访问控制列表和高强度的密码控制。

（3）要严格地为IOS

做安全备份，及时升级和修补IOS

软件，并迅速为IOS

安装补丁。

（4）要为路由器的配置文件做安全备份。

（5）为路由器配备UPS设备，或者至少要有冗余电源。

2.1.4.1路由器安全

2.1.4网络设备的安全

（6）为进入特权模式设置强壮的密码，可采用enablesecret（不要采用enablepassword）命令进行设置，并且启用Servicepassword-encryption，操作如下。

Router（config）#servicepassword-encryption

Router（config）#enablesecret

2.1.4.1路由器安全

2.1.4网络设备的安全

（7）如果不使用AUX端口，则应禁止该端口，使用如下命令即可（默认时未被启用）。

Router（config）#lineaux0

Router（config-line）#transportinputnone

Router（config-line）#noexec

2.1.4.1路由器安全

2.1.4网络设备的安全

（8）若要对权限进行分级，采用权限分级策略，可进行如下操作。

Router（config）#usernametestprivilege10xxxx

Router（config）#privilegeEXEClevel10telnet

Router（config）#privilegeEXEClevel10showipaccess-list

2.