路由器安全設(shè)置十四步是什么(路由器安全設(shè)置十四步視頻)

發(fā)布時(shí)間：2024-02-17

本文為大家介紹路由器安全設(shè)置十四步是什么(路由器安全設(shè)置十四步視頻)，下面和小編一起看看詳細(xì)內(nèi)容吧。
下面小編就為大家?guī)?lái)路由器安全設(shè)置的十四個(gè)步驟。路由器安全也成為當(dāng)下的熱門(mén)話(huà)題之一。安全事件越來(lái)越多，或銀行卡被盜，或隱私泄露！好了，下面的教程開(kāi)始啦！
1.增加路由器間協(xié)議交換的鑒權(quán)功能，提高網(wǎng)絡(luò)安全性。
路由器的一個(gè)重要功能是路由管理和維護(hù)。目前，具有一定規(guī)模的網(wǎng)絡(luò)都使用動(dòng)態(tài)路由協(xié)議，如rip、eigrp、ospf、is-is、bgp等。當(dāng)配置了相同路由協(xié)議和相同區(qū)域標(biāo)識(shí)符的路由器加入網(wǎng)絡(luò)時(shí)，它會(huì)學(xué)習(xí)網(wǎng)絡(luò)上的路由信息表。但是，這種方式可能會(huì)導(dǎo)致網(wǎng)絡(luò)拓?fù)湫畔⑿孤?，或者將自己的路由信息表發(fā)送到網(wǎng)絡(luò)中，擾亂網(wǎng)絡(luò)上正常的路由信息表，嚴(yán)重時(shí)甚至?xí)?dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。解決這個(gè)問(wèn)題的方法是對(duì)網(wǎng)絡(luò)中路由器之間交換的路由信息進(jìn)行認(rèn)證。當(dāng)路由器配置了一種認(rèn)證方法時(shí)，它會(huì)識(shí)別路由信息的發(fā)送者和接收者。
2.路由器的物理安全。
路由器控制端口是具有特殊權(quán)限的端口。如果攻擊者物理接觸路由器，斷電重啟，執(zhí)行“密碼恢復(fù)過(guò)程”，再登錄路由器，就可以完全控制路由器。
3.保護(hù)路由器密碼。
在備份路由器配置文件中，即使密碼以加密形式存儲(chǔ)，明文密碼仍有被破解的可能。一旦密碼泄露，網(wǎng)絡(luò)就不安全。
4.阻止查看路由器診斷信息。
關(guān)機(jī)命令如下：no service tcp-small-servers no service udp-small-servers
5.禁止查看路由器當(dāng)前用戶(hù)列表。
關(guān)機(jī)命令是：no service finger。
6.關(guān)閉cdp服務(wù)。
在osi二層協(xié)議即鏈路層的基礎(chǔ)上，可以查到對(duì)端路由器：設(shè)備平臺(tái)的配置信息、操作系統(tǒng)版本、端口、ip地址等重要信息。您可以使用命令： no cdp running 或no cdp enable 關(guān)閉此服務(wù)。
7. 防止路由器接收帶有源路由標(biāo)志的數(shù)據(jù)包，并丟棄帶有源路由選項(xiàng)的數(shù)據(jù)流。
“ip source-route”是一個(gè)全局配置命令，允許路由器處理標(biāo)有源路由選項(xiàng)的流量。啟用源路由選項(xiàng)后，源路由信息指定的路由使數(shù)據(jù)流能夠穿越默認(rèn)路由，這種報(bào)文可能會(huì)繞過(guò)防火墻。關(guān)機(jī)命令如下：no ip source-route。
8.關(guān)閉轉(zhuǎn)發(fā)路由器廣播包。
sumrf d.o.s攻擊利用廣播轉(zhuǎn)發(fā)配置的路由器作為反射板，占用網(wǎng)絡(luò)資源，甚至造成網(wǎng)絡(luò)癱瘓。 “no ip directed-broadcast”應(yīng)該在每個(gè)端口上應(yīng)用以關(guān)閉路由器廣播數(shù)據(jù)包。
9. 管理http 服務(wù)。
http 服務(wù)提供了一個(gè)web 管理界面。 “no ip http server”可以停止http服務(wù)。如果必須使用http，則必須使用訪(fǎng)問(wèn)列表“ip http access-class”命令嚴(yán)格過(guò)濾允許的ip地址，并使用“ip http authentication”命令設(shè)置授權(quán)限制。
10. 抵御欺騙（spoofing）攻擊。
使用訪(fǎng)問(wèn)控制列表過(guò)濾掉所有目的地址為網(wǎng)絡(luò)廣播地址并聲稱(chēng)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)，但實(shí)際上來(lái)自外部的數(shù)據(jù)包。在路由器端口配置： ip access-group list in number 訪(fǎng)問(wèn)控制列表如下： access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0 .0.0 31.255。 255.255 any access-list number deny ip host 0.0.0.0 any note : 以上四行命令會(huì)過(guò)濾bootp/dhcp應(yīng)用中的部分?jǐn)?shù)據(jù)包，類(lèi)似環(huán)境下使用要充分理解。
11.防止數(shù)據(jù)包嗅探。
黑客往往在已被入侵網(wǎng)絡(luò)的計(jì)算機(jī)上安裝嗅探軟件，以監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量，從而竊取密碼，包括snmp通信密碼，以及路由器登錄和特權(quán)密碼，使網(wǎng)絡(luò)管理員難以確保網(wǎng)絡(luò)安全。不要在不受信任的網(wǎng)絡(luò)上使用非加密協(xié)議登錄路由器。如果路由器支持加密協(xié)議，請(qǐng)使用ssh 或kerberized telnet，或使用ipsec 對(duì)路由器上的所有管理流量進(jìn)行加密。
12.驗(yàn)證數(shù)據(jù)流路的合法性。
使用rpf（reverse path forwarding）反向路徑轉(zhuǎn)發(fā)，因?yàn)楣粽叩牡刂肥欠欠ǖ模怨舭粊G棄，從而達(dá)到抵御欺騙攻擊的目的。 rpf反向路徑轉(zhuǎn)發(fā)的配置命令為： ip verify unicast rpf。注意：首先要支持cef（cisco express forwarding）快速轉(zhuǎn)發(fā)。
13.防止syn攻擊。
目前，一些路由器軟件平臺(tái)可以開(kāi)啟tcp攔截功能來(lái)防止syn攻擊。工作模式分為攔截和監(jiān)控。默認(rèn)為攔截模式。 （攔截方式： 路由器響應(yīng)傳入的syn請(qǐng)求，代替服務(wù)器發(fā)送syn-ack報(bào)文，然后等待客戶(hù)端ack，如果收到ack，則將原來(lái)的syn報(bào)文發(fā)送給服務(wù)器；監(jiān)聽(tīng)mode：路由器允許syn請(qǐng)求直接到達(dá)服務(wù)器，如果30秒內(nèi)會(huì)話(huà)沒(méi)有建立，路由器會(huì)發(fā)送一個(gè)rst來(lái)清除連接。）首先配置訪(fǎng)問(wèn)列表，準(zhǔn)備打開(kāi)需要的ip地址待保護(hù)： 訪(fǎng)問(wèn)列表[1-199 ] [
deny permit] tcp any destination destination-wildcard 然后，開(kāi)啟tcp攔截： ip tcp intercept mode intercept ip tcp intercept list access list-number ip tcp intercept mode watch
14. 使用安全的snmp管理方案。
snmp廣泛應(yīng)用在路由器的監(jiān)控、配置方面。snmp version 1在穿越公網(wǎng)的管理應(yīng)用方面，安全性低，不適合使用。利用訪(fǎng)問(wèn)列表僅僅允許來(lái)自特定工作站的snmp訪(fǎng)問(wèn)通過(guò)這一功能可以來(lái)提升snmp服務(wù)的安全性能。配置命令： snmp-server community xxxxx rw xx ;xx是訪(fǎng)問(wèn)控制列表號(hào) snmp version 2使用md5數(shù)字身份鑒別方式。不同的路由器設(shè)備配置不同的數(shù)字簽名密碼，這是提高整體安全性能的有效手段。
綜述：
路由器作為整個(gè)網(wǎng)絡(luò)的關(guān)鍵性設(shè)備，安全問(wèn)題是需要我們特別重視。當(dāng)然，如果僅僅是靠上面的這些設(shè)置方法，來(lái)保護(hù)我們的網(wǎng)絡(luò)是遠(yuǎn)遠(yuǎn)不夠的，還需要配合其他的設(shè)備來(lái)一起做好安全防范措施，將我們的網(wǎng)絡(luò)打造成為一個(gè)安全穩(wěn)定的信息交流平臺(tái)。
好了，路由器安全設(shè)置十四步是什么(路由器安全設(shè)置十四步視頻)的介紹到這里就結(jié)束了，想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。