伴隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及網(wǎng)絡(luò)應(yīng)用的日益復(fù)雜，網(wǎng)絡(luò)邊界存在的安全風(fēng)險正逐步增多，針對網(wǎng)絡(luò)邊界的安全防護(hù)已成為現(xiàn)在網(wǎng)絡(luò)安全建設(shè)中不可回避的問題。作為網(wǎng)絡(luò)邊界的重要關(guān)卡之一，邊界路由器自身的安全狀態(tài)，直接影響著網(wǎng)絡(luò)邊界的安全防護(hù)效果。為了改善網(wǎng)絡(luò)邊界安全防護(hù)效果，可以加強(qiáng)對邊界路由器的設(shè)置，不讓其成為惡意用戶的眾矢之的。

嚴(yán)格管理登錄密碼

當(dāng)邊界路由器使用默認(rèn)密碼或簡單字符串作為登錄密碼時，會被人輕易破解。為避免邊界路由器輕易遭受攻擊，必須嚴(yán)格管理好其登錄密碼。首先要定期修改邊界路由器登錄密碼，比較理想的密碼內(nèi)容組合是密碼無規(guī)律可循，被成功破解的機(jī)率相當(dāng)?shù)汀?/p>

其次盡量使用復(fù)雜的加密算法。例如，對于思科邊界路由器來說，可以使用“enable secret”命令來設(shè)置后臺系統(tǒng)登錄密碼，而不要使用“enable password”命令進(jìn)行設(shè)置，因為后面一種命令使用的是較弱的加密算法，它設(shè)置的密碼內(nèi)容是以明文形式存在，所以“enable secret”命令設(shè)置的密碼要優(yōu)先于“enable password”命令設(shè)置的密碼。當(dāng)然，無論使用何種命令，其內(nèi)容都是存儲在邊界路由器配置文件中的，為保護(hù)配置文件的安全，建議同時啟用“service passwordencryption”功能，對邊界路由器配置文件中的內(nèi)容執(zhí)行加密操作。

第三加密保護(hù)Consol連接端口。通過直連的Consol端口可以輕易控制整個邊界路由器后臺系統(tǒng)，哪怕惡意用戶沒有足夠的操作權(quán)限，但只要有訪問控制端口和重啟后臺系統(tǒng)功能時，就有可能通過Consol連接端口操控邊界路由器。為了避免這種現(xiàn)象，要為邊界路由器的Consol連接端口設(shè)置復(fù)雜的訪問密碼。例如，要為思科邊界路由器的Consol端口 設(shè) 置“&5uy$32><”這 樣的密碼時，可以先在后臺系統(tǒng)的全局配置模式狀態(tài)下，執(zhí) 行“l(fā)ine consol 0”命令，切換到對應(yīng)連接端口視圖模式，再輸入“password&5uy$32><”命令即可。

無論哪種類型的密碼，都應(yīng)定期修改。通過強(qiáng)制定期修改密碼的方法能控制登錄密碼的有效時間。

合理進(jìn)行訪問控制

邊界路由器作為單位局域網(wǎng)與Internet網(wǎng)絡(luò)相互連接的一個重要設(shè)備，它是單位局域網(wǎng)接受數(shù)據(jù)的第一道“關(guān)卡”，在這種情況下，需要合理配置訪問控制列表來保護(hù)網(wǎng)絡(luò)邊界的安全，網(wǎng)管員可根據(jù)實際情況按需定義基本的標(biāo)準(zhǔn)訪問列表或定義高級的擴(kuò)展訪問列表。例如，在思科邊界路由器后臺系統(tǒng)配置模式狀態(tài)下，依次執(zhí)行如下配置命令，能對網(wǎng)絡(luò)邊界安全起到一定作用。

其中第一行命令是用來過濾環(huán)回地址的，第二至第四行命令是過濾RFC1918私有地址的，第五行命令是過濾不用的組播地址的，第六行命令是過濾DHCP自定義地址的，第七行命令是過濾全網(wǎng)絡(luò)地址的。

此外，還可以配置訪問控制列表，嚴(yán)格限定流出單位局域網(wǎng)的數(shù)據(jù)包地址。例如，單位內(nèi)網(wǎng)使用的IP地址為10.176.0.0，那么可以進(jìn)行如下配置操作，來控制邊界路由器的數(shù)據(jù)流出：

停用無關(guān)管理服務(wù)

邊界路由器往往會集成并開啟很多管理服務(wù)，但對特定類型用戶，大多管理服務(wù)幾乎用不到，相反還會威脅邊界路由器的運行安全。

首先盡量關(guān)閉SNMP服務(wù)。SNMP服務(wù)是一個十分實用的服務(wù)，但它也有致命安全缺陷，因為其常常采用UDP方式傳輸，便于惡意用戶進(jìn)行IP源地址假冒，而且它在處理請求消息以及在解析和處理TRAP消息時，可能會引起緩沖區(qū)溢出、堆棧耗盡和內(nèi)存耗盡等不正?，F(xiàn)象。因此，在網(wǎng)絡(luò)邊界環(huán)境下建議關(guān)閉路由器自帶的SNMP服務(wù)。例如在關(guān)閉思科邊界路由器的SNMP服務(wù)時，只要在全局配置模式狀態(tài)下輸入“No Snmp-Server”命令即可。當(dāng)然，如果實在要使用SNMP服務(wù)時，可以開啟使用邊界路由器的SNMP代理功能，通過訪問控制方式，將來自未經(jīng)授權(quán)主機(jī)的SNMP請求信息攔截，只是該方法對UDP的源IP地址欺騙不能奏效，且會影響網(wǎng)絡(luò)傳輸性能。

其次停用HTTP管理服務(wù)。思科路由器集成了基于圖形界面的HTTP管理服務(wù)，該服務(wù)一旦啟動后，路由器后臺系統(tǒng)需要打開80端口，而該端口常常會成為外網(wǎng)黑客的攻擊目標(biāo)。所以，當(dāng)路由器用于網(wǎng)絡(luò)邊界環(huán)境時，建議停用后臺系統(tǒng)自帶的HTTP管理服務(wù)。在關(guān)閉思科邊界路由器的HTTP管理服務(wù)時，只要在全局配置模式狀態(tài)下，輸入“No ip http server”命令即可。

第三，警惕Telent服務(wù)威脅。為提高網(wǎng)絡(luò)管理效率，很多網(wǎng)管員常常使用Telnet服務(wù)對路由器進(jìn)行遠(yuǎn)程管理維護(hù)，不過該服務(wù)在傳輸數(shù)據(jù)時會將登錄賬號之類的重要信息以明文方式傳輸，黑客通過專業(yè)嗅探工具能輕松截取Telent服務(wù)發(fā)送的數(shù)據(jù)包，這顯然不安全。其實，思科路由器默認(rèn)未啟用Telent服務(wù)，如果需要遠(yuǎn)程管理維護(hù)路由器時，不妨通過SSH服務(wù)來進(jìn)行。該服務(wù)會對傳輸數(shù)據(jù)進(jìn)行加密，所以相對來說，這種服務(wù)遠(yuǎn)程管理路由器時會安全許多。如果網(wǎng)絡(luò)邊界使用的是其他品牌路由器，可以先查看對應(yīng)設(shè)備的Telnet服務(wù)是否已被開啟，如果已經(jīng)開啟，建議盡量要停用該服務(wù)，以確保邊界路由器的工作安全。倘若一定要使用Telnet服務(wù)時，不妨通過設(shè)置復(fù)雜的登錄密碼來保護(hù)遠(yuǎn)程管理操作安全。

第四關(guān)閉IP Directed Broadcast服務(wù)。當(dāng)邊界路由器開啟了IP Directed Broadcast服務(wù)后，黑客通過假冒的源地址向單位內(nèi)網(wǎng)廣播地址發(fā)送一個廣播幀時，邊界路由器會自動識別出地址的主機(jī)部分是發(fā)往所有主機(jī)的廣播地址，然后它將數(shù)據(jù)包擴(kuò)展成MAC層的廣播幀，特定網(wǎng)段上的所有主機(jī)都能收到此廣播幀，那么所有主機(jī)就會進(jìn)行回應(yīng)，這種現(xiàn)象將會嚴(yán)重降低單位內(nèi)網(wǎng)網(wǎng)絡(luò)性能。所以在沒有特殊要求的情況下，建議使用“No ip source-route”命令，關(guān)閉邊界路由器的IP Directed Broadcast服務(wù)。

拒絕外部Ping測試

黑客在向單位內(nèi)網(wǎng)發(fā)動攻擊之前，經(jīng)常會使用Ping命令對內(nèi)網(wǎng)中的特定主機(jī)進(jìn)行測試。為了增大黑客的攻擊難度，可以在邊界路由器上進(jìn)行合理配置，拒絕對外部Ping命令測試操作進(jìn)行回應(yīng)。

例如，在思科路由器后臺系統(tǒng)中，可以在全局配置模式狀態(tài)下依次執(zhí)行如下命令，從而拒絕對ICMP數(shù)據(jù)包進(jìn)行響應(yīng)、重定向以及請求等：

其中，第一行命令表示禁止對進(jìn)入單位內(nèi)網(wǎng)的ICMP數(shù)據(jù)包進(jìn)行回應(yīng)，第二行命令表示禁止對進(jìn)入單位內(nèi)網(wǎng)的ICMP數(shù)據(jù)包進(jìn)行重定向，第三行命令表示禁止對進(jìn)入單位內(nèi)網(wǎng)的ICMP數(shù)據(jù)包申請獲得掩碼地址。