摘要：路由器作為重要的網(wǎng)絡(luò)通信設(shè)備，它的安全性關(guān)系著整個(gè)網(wǎng)絡(luò)的安全。從加強(qiáng)人員的安全教育、確保路由器物理安全、加強(qiáng)用戶賬戶和口令的管理、限制對(duì)路由器的非法訪問(wèn)、關(guān)閉不必要的服務(wù) 5 個(gè)方面探討了確保路由器安全的措施。

關(guān)鍵詞：思科路由器；使用安全；訪問(wèn)控制

路由器是局域網(wǎng)中重要的網(wǎng)絡(luò)設(shè)備，它主要在網(wǎng)絡(luò)層實(shí)現(xiàn)子網(wǎng)之間及內(nèi)外網(wǎng)數(shù)據(jù)的轉(zhuǎn)發(fā)，是不同網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)通信的必經(jīng)通道。目前很多路由器也可以集成防火墻等安全模塊，因而路由器通常也會(huì)成為防止外網(wǎng)入侵的第一道屏障。攻擊者如果獲得路由器的控制權(quán)，他們就既可以竊取路由器中的重要信息，又可以以該路由器為跳板去進(jìn)一步攻擊其他網(wǎng)絡(luò)設(shè)備。對(duì)于大多數(shù)局域網(wǎng)來(lái)說(shuō)，加強(qiáng)路由器的安全防護(hù)已經(jīng)變得十分必要。本文結(jié)合最常用的思科路由器介紹一些安全防護(hù)措施。路由器的安全包含兩方面的含義：路由器自身的安全和路由器中數(shù)據(jù)的安全。路由器自身安全主要指確保物理安全，主要是防止非法用戶對(duì)路由器進(jìn)行關(guān)機(jī)、重啟、添加/移除模塊等操作。數(shù)據(jù)安全主要指路由器啟動(dòng)所必需的操作系統(tǒng)、配置文件及工作過(guò)程中生成的路由表、日志等相關(guān)信息不被非法獲取、修改、破壞。配置文件和路由表等數(shù)據(jù)可以反應(yīng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、安全設(shè)置及網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)的依據(jù)等信息，一旦泄露或損壞會(huì)造成較大安全隱患。

當(dāng)前針對(duì)路由器的攻擊可以大體分為兩種方式：非法接入和拒絕服務(wù)攻擊（Denial of Service， DoS）。非法接入是指未授權(quán)用戶通過(guò)種種手段非法接入到路由器上獲得控制權(quán)，繼而進(jìn)行修改配置文件、添刪路由信息等危害路由安全的操作；拒絕服務(wù)攻擊主要是向目標(biāo)路由器發(fā)送大量的無(wú)用信息從而消耗目標(biāo)的系統(tǒng)資源使之無(wú)法響應(yīng)正常的用戶請(qǐng)求，進(jìn)而使得目標(biāo)系統(tǒng)因遭受某種程度的破壞而不能繼續(xù)提供正常的服務(wù)，甚至導(dǎo)致物理上的癱瘓或崩潰的攻擊手段。針對(duì)這些攻擊手法我們可以采取以下措施來(lái)保障路由器安全。

一、加強(qiáng)人員的安全教育

對(duì)于網(wǎng)絡(luò)安全來(lái)講，任何情況下人的因素都是第一位的。再嚴(yán)密的防范措施最終都是要靠網(wǎng)絡(luò)的使用者來(lái)執(zhí)行的，如果使用者特別是網(wǎng)絡(luò)管理員沒(méi)有良好的安全防范意識(shí)，一切技術(shù)手段都是空談。因此管理部門首先要注意加強(qiáng)人員的安全教育，提高人員的安全意識(shí)；其次制定合理的規(guī)章制度，規(guī)范人員的日常使用行為；再次要進(jìn)行分權(quán)管理，將使用者分為管理員和普通用戶等不同身份并授予不同權(quán)限，盡可能降低風(fēng)險(xiǎn)的發(fā)生。

二、確保路由器的物理安全

物理安全主要指設(shè)備本身的安全。管理人員可以采用以下幾種方式保證路由器的物理安全：一是將關(guān)鍵設(shè)備單獨(dú)放置在有專人值守的房間；二是為設(shè)備配備 UPS 電源；三是限制人員出入；四是為設(shè)備提供專用機(jī)柜并加鎖，以防止有人擅自打開設(shè)備并添加或更換 PCMCIA 卡等模塊。

三、加強(qiáng)用戶賬戶和口令的管理

路由器可以使用用戶賬戶和密碼來(lái)識(shí)別用戶接入，合理地創(chuàng)建用戶賬戶并指定合適的密碼，可提高設(shè)備的安全性。除了創(chuàng)建進(jìn)行網(wǎng)絡(luò)管理的管理員賬戶之外，還可以為一般的網(wǎng)絡(luò)使用者創(chuàng)建一些普通用戶賬戶。為每一個(gè)用戶創(chuàng)建一個(gè)用戶名，可以方便管理，提高安全性。這些賬戶應(yīng)該根據(jù)用戶的身份和需要通過(guò)Priviledge level 命令為不同的用戶指定不同的用戶級(jí)別，使之擁有不同的權(quán)限。管理者還要注意及時(shí)清理那些為臨時(shí)使用者創(chuàng)建的臨時(shí)賬戶。黑客攻擊前通常會(huì)利用默認(rèn)口令、弱口令或密碼破解軟件對(duì)目標(biāo)系統(tǒng)進(jìn)行口令攻擊。Cisco 設(shè)備擁有控制臺(tái)（Console）、AUX、虛擬類型終端（VTY）、特權(quán)用戶等幾種口令，它們主要在路由器進(jìn)行本地/遠(yuǎn)程登錄及登錄后在不同視圖間進(jìn)行切換時(shí)提供密碼保護(hù)。我們要盡量選用好記的并符合密碼復(fù)雜性要求的口令。較長(zhǎng)的并且包含字母、數(shù)字及特殊符號(hào)等多種字符的密碼能夠有效防止黑客對(duì)口令進(jìn)行暴力破解。另外設(shè)置密碼的有效期限并定期更換密碼也是保護(hù)口令的好方法。

特權(quán)用戶口令的設(shè)置可以使用 enable password 命令和enable secret 命令。 由于 enable password 命令設(shè)置的口令以明文形式存在于配置文件中，所以要盡量使用采用 MD5 散列算法對(duì)口令進(jìn)行加密的 enable secret 命令設(shè)置特權(quán)用戶口令。為防止黑客通過(guò)讀取配置文件而得到各種密碼，可以使用 servicepassword-encryption 命令對(duì)系統(tǒng)中的口令進(jìn)行加密。

四、限制對(duì)路由器的非法訪問(wèn)

路由器的接入方式有以下幾種： 通過(guò)主控 Console 口接終端配置；在 AUX 口進(jìn)行遠(yuǎn)程配置；利用虛擬類型終端（VTY）端口通過(guò)telnet 或 SSH 進(jìn)行配置；從 TFTP Server 上下載配置；通過(guò) Web頁(yè)面進(jìn)行配置。這其中最常用的是通過(guò) Console 口直接配置和通過(guò) Telnet 或 SSH 進(jìn)行遠(yuǎn)程配置。通過(guò) Console 口訪問(wèn)，需要路由器和終端利用專用線纜直接相連，用戶接入后將默認(rèn)獲得最高權(quán)限，因此加強(qiáng)對(duì) Console 口的接入限制十分必要。我們首先加強(qiáng)對(duì)設(shè)備本身的安全保護(hù)，從物理上保障路由器不被非法接入。如果不是必需，建議禁止通過(guò) AUX、TFTP、VTY 及 Web 頁(yè)面等遠(yuǎn)程方式訪問(wèn)路由器。如果確實(shí)需要通過(guò) VTY 進(jìn)行遠(yuǎn)程訪問(wèn)，建議使用SSH而不是Telnet進(jìn)行遠(yuǎn)程連接。對(duì)于通過(guò)VTY登錄的用戶，最好進(jìn)行身份認(rèn)證：小型網(wǎng)絡(luò)可以使用本地認(rèn)證，而規(guī)模較大的網(wǎng)絡(luò)建議使用RADIUS/TACACS認(rèn)證。另外還可以結(jié)合使用訪問(wèn)控制列表來(lái)指定能夠訪問(wèn)Console口和VTY端口的主機(jī)，禁止其他主機(jī)訪問(wèn)，同時(shí)可用 Exec-timeoute 命令規(guī)定會(huì)話的空閑超時(shí)時(shí)間。

五、關(guān)閉不必要的服務(wù)

默認(rèn)情況下，Cisco 路由器會(huì)開啟許多網(wǎng)絡(luò)服務(wù)功能（根據(jù)IOS的版本不同會(huì)有所區(qū)別），而這些網(wǎng)絡(luò)服務(wù)功能很多時(shí)候并沒(méi)有被使用，但開啟它們卻會(huì)給系統(tǒng)留下了安全隱患。因此，為了提高網(wǎng)絡(luò)的安全性要盡量關(guān)閉那些不必要的服務(wù)。

六結(jié)語(yǔ)

通過(guò)以上安全措施，可以為路由器建立一道保護(hù)屏障，有效防止用戶的非法接入，從而保障網(wǎng)絡(luò)設(shè)備的安全。

參考文獻(xiàn)：

[1] 張秀梅.網(wǎng)絡(luò)入侵防御系統(tǒng)的分析與設(shè)計(jì)[J].信息與電腦，2009（7）：1-2.

[2] 馬麗，袁建生，王雅超.基于行為的入侵防御系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（6）：33-35.

[3] 郭翔，謝宇飛，李銳.校園網(wǎng)層次型網(wǎng)絡(luò)安全設(shè)計(jì)[J].科技資訊，2010（9）：26.