提升網(wǎng)絡路由器訪問安全性

路由器是計算機網(wǎng)絡的入網(wǎng)節(jié)點設備，其安全性直接影響著內(nèi)部網(wǎng)絡及信息系統(tǒng)的運行質(zhì)量，有效的路由器安全機制可顯著提高網(wǎng)絡的安全性。因此總結(jié)了提升網(wǎng)絡路由器訪問安全的常用策略設置，供大家參考。

登錄口令安全設置

口令管理是路由器的第一道防護屏障，也是黑客攻擊的一個重要目標。如果路由器登錄口令很容易被攻破，那么內(nèi)部網(wǎng)絡的安全也就無從談起。據(jù)調(diào)查顯示，大多數(shù)安全突破事件是由薄弱口令引起的。就路由器而言，高強度的密碼安全策略顯得尤為重要，需要為特權(quán)模式的進入設置復雜、強壯的長口令，而且不提倡采用“enable password”設置可顯示口令，而要用“enable secret”命 令 設置，啟用“Service passwordencryption（密碼加密服務）”。

按需進行訪問限制

采用訪問控制列表可以過濾流經(jīng)路由器各端口的數(shù)據(jù)流，控制對重要網(wǎng)絡資源的訪問權(quán)限，也可以對一些已知的常見攻擊進行屏蔽。訪問控制列表（ACL）是應用到路由器接口的指令列表，用來控制端口進出的數(shù)據(jù)包。

訪問列表為網(wǎng)絡控制提供了一個有力的方法，這些列表增加了在路由器上過濾數(shù)據(jù)包出入的靈活性。具體方法是，首先定義訪問控制列表，然后在具體物理接口上應用該訪問控制列表。

封鎖攻擊嗅探風險

對攻擊者而言，ICMP探測可以識別在線使用的路由設備，通常用于更大規(guī)模的協(xié)同性攻擊前的偵察活動。通過封鎖遠程ICMP響應，可拒絕入侵者的探測請求應答。

這樣做雖然不能保護自己的網(wǎng)絡免受攻擊，但顯而易見的效果是，這將可以使用戶成為黑客攻擊的潛在選擇目標的幾率大大降低。

過濾木馬病毒端口

病毒入侵經(jīng)常會使用某些特殊端口，如4444、135/139等，關(guān)閉這些端口可有效防止常見病毒和木馬攻擊。比如，沖擊波病毒使用TCP 與 UDP 的 135、136、137、138、139、445 等端口進行傳播，如果在路由器上禁止上述端口的數(shù)據(jù)包通過，就可有效防范該病毒傳播。

1.定義訪問控制列表

2.將該訪問控制列表應用到指定的接口

堵塞SYN攻擊漏洞

TCP攔截可防止SYN泛洪攻擊。SYN攻擊利用的是TCP的三次握手機制，用偽造的IP地址向被攻擊端發(fā)出請求，而被攻擊端發(fā)出的響應報文將永遠發(fā)送不到目的地，那么被攻擊端在等待關(guān)閉這個連接的過程中將不斷消耗資源；如果有成千上萬的這種連接，主機資源將被耗盡，從而達到攻擊的目的。

比如，對于重要的Web服務器，IP地 址 為192.168.1.8/24，配置路由器進行TCP攔截，可保護Web服務器免受SYN洪水攻擊。開啟TCP攔截的方法：

1.設置TCP攔截的工作模式。TCP攔截的工作模式分為攔截和監(jiān)視。為減輕路由器審核TCP連接帶來的負擔，一般使用監(jiān)視模式。

ip tcp intercept mode interceptlwatch

2.設置訪問列表，設置需要保護的IP地址

3.開啟TCP攔截

加強SNMP安全設置

利用SNMP v3數(shù)據(jù)傳輸加密處理功能，結(jié)合訪問控制列表，能有效提升網(wǎng)絡管理系統(tǒng)的通信安全性。

SNMP v3是基于用戶的安全模型（USM），即對網(wǎng)管消息進行加密和認證是基于用戶進行，通過認證、加密和訪問時限等方式，提供數(shù)據(jù)完整性、數(shù)據(jù)源認證、數(shù)據(jù)保密和消息時限服務，從而有效防止非授權(quán)用戶對管理信息的修改、偽裝和竊聽。

以CISCO路由器為例，SNMPv3的設置方法：

1.創(chuàng)建訪問視圖

2.創(chuàng)建用戶組，啟用只讀功能

3.創(chuàng)建用戶，設置認證、密碼及用戶組