高等職業(yè)院校校園網(wǎng)路由器安全技術(shù)的研究

【摘 要】 在高等職業(yè)院校中，要建立安全的校園網(wǎng)，必須對網(wǎng)絡(luò)進行安全的操作和維護。路由器是我院網(wǎng)絡(luò)中的重要設(shè)備，在校園網(wǎng)中占有核心地位，為了防止外來入侵，從路由器的訪問、路由、服務(wù)等三個方面來研究校園網(wǎng)路由器的安全技術(shù)。

【關(guān)鍵詞】路由器 安全技術(shù) 校園網(wǎng)

【科研項目】黑龍江省教育廳高職高專院?？蒲许椖俊奥酚善靼踩夹g(shù)在校園網(wǎng)中的應(yīng)用”（編號：11555108）成果。

1 研究的必要性

隨著大數(shù)據(jù)時代的來臨，信息技術(shù)以及計算機設(shè)備的發(fā)展，我國多數(shù)院校均組建了校園網(wǎng)，校園網(wǎng)給院校師生帶來諸多教學(xué)工作、管理工作以及日常生活等方面的便利的同時，在校園網(wǎng)絡(luò)運行過程中也存在著諸多安全問題，各種網(wǎng)絡(luò)不安全隱患威脅著數(shù)據(jù)信息系統(tǒng)的安全和師生信息資料的保密，因此加強校園網(wǎng)安全技術(shù)在校園網(wǎng)絡(luò)中的研究是十分必要的，對于構(gòu)建具有高質(zhì)量安全防御體系的校園網(wǎng)意義重大。

2 校園網(wǎng)的技術(shù)特點

我院校園網(wǎng)的重要設(shè)備是路由器，在校園網(wǎng)絡(luò)中占有核心地位。路由器位于一個或多個網(wǎng)段的交界處，一般工作在網(wǎng)絡(luò)層和傳輸層，按照協(xié)議和網(wǎng)絡(luò)信息負責(zé)數(shù)據(jù)包的轉(zhuǎn)發(fā)。在網(wǎng)絡(luò)層，路由器對遇到的一個 IP 包，檢查 IP 包中的目的 IP 地址，并與路由表中的項目進行匹配，匹配則依照表中的指示轉(zhuǎn)發(fā) IP 包，不匹配且沒有缺省的路由選擇，IP 包則被丟棄。在傳輸層，路由器進行包過濾，利用 TCP 報頭中的源端口號、目的端口號和 TCP 標(biāo)志，路由器可以阻塞不知名地址的傳輸，達到保護內(nèi)部安全的目的。

3 路由器的安全隱患

路由器使用簡單的包過濾技術(shù)，在安全性方面存在著明顯的隱患。首先，它只是將 IP 層和 TCP 層的地址、端口號和 TCP 標(biāo)志等信息作為判定過濾與否的唯一依據(jù)，路由器不能對通過高層協(xié)議進行的攻擊實現(xiàn)有效的檢測。其次，對一些協(xié)議，如遠程程序調(diào)用（RPC）和 UDP很難進行過濾。再次，設(shè)計的包過濾訪問列表（ACL）能否達到安全性取決于網(wǎng)絡(luò)管理員對通信協(xié)議和行為的高水平理解，包過濾規(guī)則條數(shù)的增加使路由器性能大幅度下降，而且在許多包過濾實施中缺乏審計和報警裝置。

4 路由器的安全技術(shù)

4.1 合理的規(guī)劃

在我院的校園網(wǎng)環(huán)境中，路由器處于防火墻的外部，負責(zé)與 Internet 的連接，這種拓撲結(jié)構(gòu)實際上是將路由器暴露在校園網(wǎng)安全防線以外。如果路由器未采取適當(dāng)?shù)陌踩婪洞胧涂赡軙蔀楣粽甙l(fā)起攻擊的地方，對內(nèi)部網(wǎng)絡(luò)安全造成威脅和隱患。因此，在網(wǎng)絡(luò)安全管理上，必須對路由器進行合理規(guī)劃、配置，采取必要的安全防范措施，避免因路由器自身的安全問題而給整個網(wǎng)絡(luò)帶來極大的漏洞和風(fēng)險。

4.2 路由器的安全技術(shù)

路由器的安全技術(shù)要圍繞路由器的安全防護目標(biāo)而進行，一是防止對路由器自身的未經(jīng)授權(quán)的訪問；二是防止對網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問；三是防止網(wǎng)絡(luò)數(shù)據(jù)竊聽與攻擊；四是防止欺騙性路由更新。

4.2.1 路由器的訪問安全

路由器的訪問是使用密碼來驗證登錄用戶的權(quán)限，密碼在路由器上有兩種保存方式，在IOS網(wǎng)際操作系統(tǒng)中的特權(quán)模式下，有明文加密和密文加密兩種加密方法，明文密碼可以通過查看配置文件直接看到，密文密碼不能通過查看配置文件而直接識別出來。為了保障校園網(wǎng)絡(luò)的安全，在設(shè)置密碼時盡可能使用高強度的密碼 策 略，即 設(shè) 置 密 碼 時 要 混 合 用 大 小 寫、數(shù) 字和符號。如果入侵者通過了網(wǎng)絡(luò)設(shè)備的密碼驗證，入侵者就控制了網(wǎng)絡(luò) 設(shè) 備，網(wǎng) 絡(luò) 設(shè) 備 及 其 校園 網(wǎng) 絡(luò) 就 遭 受 威 脅。為了使所有的密 碼 更 為 安 全 和可 靠，可 以 使 用 Service password -encryption命 令 對 全 部 密 碼 進 行 加 密。配 置 方 法如下：

Router（config）#Service password -encryption

Router（config）#enable secret password

4.2.2 路由器的路由安全

通過路由協(xié)議認證的方法確保路由安全，對使用動態(tài)路由協(xié)議的路由器進行認證，啟用 MD5 認證，并設(shè)置一定強度的密鑰，相對的路由器必須有相同的密鑰。使用被動接口、端口上禁止發(fā)送廣播包、禁止使用 IP 源路由、禁止使用 IP 重定向、校驗數(shù)據(jù)包的路徑的合法性等。

4.2.3 路由器的服務(wù)安全

禁用不必要的、不使用的服務(wù)：no service tcp-small-servers禁用一些小服務(wù)、no cdp run禁用 cdp 服務(wù)、no ip finger禁用 Finger 服務(wù)、禁止 HTTP 服務(wù)、禁止 bootp 服務(wù)、no boot network禁止從網(wǎng)絡(luò)啟動和禁止從網(wǎng)絡(luò)下載初始配置文件、禁止 ip classless、禁止 ICMP ping 包的一些反饋信息等。

5 結(jié)束語

路由器作為我院校園網(wǎng)絡(luò)的核心設(shè)備，安全問題是至關(guān)重要的。僅靠這幾種方法來保護我院校園網(wǎng)絡(luò)的安全還是不夠的，還需要我校網(wǎng)絡(luò)安全中心配合其他的網(wǎng)絡(luò)設(shè)備來一起做好安全防范措施，將我院的校園網(wǎng)打造成為一個安全穩(wěn)定的信息數(shù)據(jù)交流平臺。

參考文獻

[1]王海軍.路由器和交換機的安全技術(shù)研究.淮北職業(yè)技術(shù)學(xué)院學(xué)報，2011

[2]沙尼亞.現(xiàn)代網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)絡(luò)中的應(yīng)用.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015