本文为大家介绍路由器安全设置十四步是什么(路由器安全设置十四步视频),下面和小编一起看看详细内容吧。
下面小编就为大家带来路由器安全设置的十四个步骤。路由器安全也成为当下的热门话题之一。安全事件越来越多,或银行卡被盗,或隐私泄露!好了,下面的教程开始啦!
1.增加路由器间协议交换的鉴权功能,提高网络安全性。
路由器的一个重要功能是路由管理和维护。目前,具有一定规模的网络都使用动态路由协议,如rip、eigrp、ospf、is-is、bgp等。当配置了相同路由协议和相同区域标识符的路由器加入网络时,它会学习网络上的路由信息表。但是,这种方式可能会导致网络拓扑信息泄露,或者将自己的路由信息表发送到网络中,扰乱网络上正常的路由信息表,严重时甚至会导致整个网络瘫痪。解决这个问题的方法是对网络中路由器之间交换的路由信息进行认证。当路由器配置了一种认证方法时,它会识别路由信息的发送者和接收者。
2.路由器的物理安全。
路由器控制端口是具有特殊权限的端口。如果攻击者物理接触路由器,断电重启,执行“密码恢复过程”,再登录路由器,就可以完全控制路由器。
3.保护路由器密码。
在备份路由器配置文件中,即使密码以加密形式存储,明文密码仍有被破解的可能。一旦密码泄露,网络就不安全。
4.阻止查看路由器诊断信息。
关机命令如下:no service tcp-small-servers no service udp-small-servers
5.禁止查看路由器当前用户列表。
关机命令是:no service finger。
6.关闭cdp服务。
在osi二层协议即链路层的基础上,可以查到对端路由器:设备平台的配置信息、操作系统版本、端口、ip地址等重要信息。您可以使用命令: no cdp running 或no cdp enable 关闭此服务。
7. 防止路由器接收带有源路由标志的数据包,并丢弃带有源路由选项的数据流。
“ip source-route”是一个全局配置命令,允许路由器处理标有源路由选项的流量。启用源路由选项后,源路由信息指定的路由使数据流能够穿越默认路由,这种报文可能会绕过防火墙。关机命令如下:no ip source-route。
8.关闭转发路由器广播包。
sumrf d.o.s攻击利用广播转发配置的路由器作为反射板,占用网络资源,甚至造成网络瘫痪。 “no ip directed-broadcast”应该在每个端口上应用以关闭路由器广播数据包。
9. 管理http 服务。
http 服务提供了一个web 管理界面。 “no ip http server”可以停止http服务。如果必须使用http,则必须使用访问列表“ip http access-class”命令严格过滤允许的ip地址,并使用“ip http authentication”命令设置授权限制。
10. 抵御欺骗(spoofing)攻击。
使用访问控制列表过滤掉所有目的地址为网络广播地址并声称来自内部网络,但实际上来自外部的数据包。在路由器端口配置: ip access-group list in number 访问控制列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0 .0.0 31.255。 255.255 any access-list number deny ip host 0.0.0.0 any note : 以上四行命令会过滤bootp/dhcp应用中的部分数据包,类似环境下使用要充分理解。
11.防止数据包嗅探。
黑客往往在已被入侵网络的计算机上安装嗅探软件,以监控网络数据流量,从而窃取密码,包括snmp通信密码,以及路由器登录和特权密码,使网络管理员难以确保网络安全。不要在不受信任的网络上使用非加密协议登录路由器。如果路由器支持加密协议,请使用ssh 或kerberized telnet,或使用ipsec 对路由器上的所有管理流量进行加密。
12.验证数据流路的合法性。
使用rpf(reverse path forwarding)反向路径转发,因为攻击者的地址是非法的,所以攻击包被丢弃,从而达到抵御欺骗攻击的目的。 rpf反向路径转发的配置命令为: ip verify unicast rpf。注意:首先要支持cef(cisco express forwarding)快速转发。
13.防止syn攻击。
目前,一些路由器软件平台可以开启tcp拦截功能来防止syn攻击。工作模式分为拦截和监控。默认为拦截模式。 (拦截方式: 路由器响应传入的syn请求,代替服务器发送syn-ack报文,然后等待客户端ack,如果收到ack,则将原来的syn报文发送给服务器;监听mode:路由器允许syn请求直接到达服务器,如果30秒内会话没有建立,路由器会发送一个rst来清除连接。)首先配置访问列表,准备打开需要的ip地址待保护: 访问列表[1-199 ] [
deny permit] tcp any destination destination-wildcard 然后,开启tcp拦截: ip tcp intercept mode intercept ip tcp intercept list access list-number ip tcp intercept mode watch
14. 使用安全的snmp管理方案。
snmp广泛应用在路由器的监控、配置方面。snmp version 1在穿越公网的管理应用方面,安全性低,不适合使用。利用访问列表仅仅允许来自特定工作站的snmp访问通过这一功能可以来提升snmp服务的安全性能。配置命令: snmp-server community xxxxx rw xx ;xx是访问控制列表号 snmp version 2使用md5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。
综述:
路由器作为整个网络的关键性设备,安全问题是需要我们特别重视。当然,如果仅仅是靠上面的这些设置方法,来保护我们的网络是远远不够的,还需要配合其他的设备来一起做好安全防范措施,将我们的网络打造成为一个安全稳定的信息交流平台。
好了,路由器安全设置十四步是什么(路由器安全设置十四步视频)的介绍到这里就结束了,想知道更多相关资料可以收藏我们的网站。