路由器安全設(shè)置十四步是什么(路由器安全設(shè)置十四步視頻)

發(fā)布時間：2024-02-17

本文為大家介紹路由器安全設(shè)置十四步是什么(路由器安全設(shè)置十四步視頻)，下面和小編一起看看詳細內(nèi)容吧。
下面小編就為大家?guī)砺酚善靼踩O(shè)置的十四個步驟。路由器安全也成為當下的熱門話題之一。安全事件越來越多，或銀行卡被盜，或隱私泄露！好了，下面的教程開始啦！
1.增加路由器間協(xié)議交換的鑒權(quán)功能，提高網(wǎng)絡(luò)安全性。
路由器的一個重要功能是路由管理和維護。目前，具有一定規(guī)模的網(wǎng)絡(luò)都使用動態(tài)路由協(xié)議，如rip、eigrp、ospf、is-is、bgp等。當配置了相同路由協(xié)議和相同區(qū)域標識符的路由器加入網(wǎng)絡(luò)時，它會學習網(wǎng)絡(luò)上的路由信息表。但是，這種方式可能會導致網(wǎng)絡(luò)拓撲信息泄露，或者將自己的路由信息表發(fā)送到網(wǎng)絡(luò)中，擾亂網(wǎng)絡(luò)上正常的路由信息表，嚴重時甚至會導致整個網(wǎng)絡(luò)癱瘓。解決這個問題的方法是對網(wǎng)絡(luò)中路由器之間交換的路由信息進行認證。當路由器配置了一種認證方法時，它會識別路由信息的發(fā)送者和接收者。
2.路由器的物理安全。
路由器控制端口是具有特殊權(quán)限的端口。如果攻擊者物理接觸路由器，斷電重啟，執(zhí)行“密碼恢復過程”，再登錄路由器，就可以完全控制路由器。
3.保護路由器密碼。
在備份路由器配置文件中，即使密碼以加密形式存儲，明文密碼仍有被破解的可能。一旦密碼泄露，網(wǎng)絡(luò)就不安全。
4.阻止查看路由器診斷信息。
關(guān)機命令如下：no service tcp-small-servers no service udp-small-servers
5.禁止查看路由器當前用戶列表。
關(guān)機命令是：no service finger。
6.關(guān)閉cdp服務(wù)。
在osi二層協(xié)議即鏈路層的基礎(chǔ)上，可以查到對端路由器：設(shè)備平臺的配置信息、操作系統(tǒng)版本、端口、ip地址等重要信息。您可以使用命令： no cdp running 或no cdp enable 關(guān)閉此服務(wù)。
7. 防止路由器接收帶有源路由標志的數(shù)據(jù)包，并丟棄帶有源路由選項的數(shù)據(jù)流。
“ip source-route”是一個全局配置命令，允許路由器處理標有源路由選項的流量。啟用源路由選項后，源路由信息指定的路由使數(shù)據(jù)流能夠穿越默認路由，這種報文可能會繞過防火墻。關(guān)機命令如下：no ip source-route。
8.關(guān)閉轉(zhuǎn)發(fā)路由器廣播包。
sumrf d.o.s攻擊利用廣播轉(zhuǎn)發(fā)配置的路由器作為反射板，占用網(wǎng)絡(luò)資源，甚至造成網(wǎng)絡(luò)癱瘓。 “no ip directed-broadcast”應(yīng)該在每個端口上應(yīng)用以關(guān)閉路由器廣播數(shù)據(jù)包。
9. 管理http 服務(wù)。
http 服務(wù)提供了一個web 管理界面。 “no ip http server”可以停止http服務(wù)。如果必須使用http，則必須使用訪問列表“ip http access-class”命令嚴格過濾允許的ip地址，并使用“ip http authentication”命令設(shè)置授權(quán)限制。
10. 抵御欺騙（spoofing）攻擊。
使用訪問控制列表過濾掉所有目的地址為網(wǎng)絡(luò)廣播地址并聲稱來自內(nèi)部網(wǎng)絡(luò)，但實際上來自外部的數(shù)據(jù)包。在路由器端口配置： ip access-group list in number 訪問控制列表如下： access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0 .0.0 31.255。 255.255 any access-list number deny ip host 0.0.0.0 any note : 以上四行命令會過濾bootp/dhcp應(yīng)用中的部分數(shù)據(jù)包，類似環(huán)境下使用要充分理解。
11.防止數(shù)據(jù)包嗅探。
黑客往往在已被入侵網(wǎng)絡(luò)的計算機上安裝嗅探軟件，以監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量，從而竊取密碼，包括snmp通信密碼，以及路由器登錄和特權(quán)密碼，使網(wǎng)絡(luò)管理員難以確保網(wǎng)絡(luò)安全。不要在不受信任的網(wǎng)絡(luò)上使用非加密協(xié)議登錄路由器。如果路由器支持加密協(xié)議，請使用ssh 或kerberized telnet，或使用ipsec 對路由器上的所有管理流量進行加密。
12.驗證數(shù)據(jù)流路的合法性。
使用rpf（reverse path forwarding）反向路徑轉(zhuǎn)發(fā)，因為攻擊者的地址是非法的，所以攻擊包被丟棄，從而達到抵御欺騙攻擊的目的。 rpf反向路徑轉(zhuǎn)發(fā)的配置命令為： ip verify unicast rpf。注意：首先要支持cef（cisco express forwarding）快速轉(zhuǎn)發(fā)。
13.防止syn攻擊。
目前，一些路由器軟件平臺可以開啟tcp攔截功能來防止syn攻擊。工作模式分為攔截和監(jiān)控。默認為攔截模式。 （攔截方式： 路由器響應(yīng)傳入的syn請求，代替服務(wù)器發(fā)送syn-ack報文，然后等待客戶端ack，如果收到ack，則將原來的syn報文發(fā)送給服務(wù)器；監(jiān)聽mode：路由器允許syn請求直接到達服務(wù)器，如果30秒內(nèi)會話沒有建立，路由器會發(fā)送一個rst來清除連接。）首先配置訪問列表，準備打開需要的ip地址待保護： 訪問列表[1-199 ] [
deny permit] tcp any destination destination-wildcard 然后，開啟tcp攔截： ip tcp intercept mode intercept ip tcp intercept list access list-number ip tcp intercept mode watch
14. 使用安全的snmp管理方案。
snmp廣泛應(yīng)用在路由器的監(jiān)控、配置方面。snmp version 1在穿越公網(wǎng)的管理應(yīng)用方面，安全性低，不適合使用。利用訪問列表僅僅允許來自特定工作站的snmp訪問通過這一功能可以來提升snmp服務(wù)的安全性能。配置命令： snmp-server community xxxxx rw xx ;xx是訪問控制列表號 snmp version 2使用md5數(shù)字身份鑒別方式。不同的路由器設(shè)備配置不同的數(shù)字簽名密碼，這是提高整體安全性能的有效手段。
綜述：
路由器作為整個網(wǎng)絡(luò)的關(guān)鍵性設(shè)備，安全問題是需要我們特別重視。當然，如果僅僅是靠上面的這些設(shè)置方法，來保護我們的網(wǎng)絡(luò)是遠遠不夠的，還需要配合其他的設(shè)備來一起做好安全防范措施，將我們的網(wǎng)絡(luò)打造成為一個安全穩(wěn)定的信息交流平臺。
好了，路由器安全設(shè)置十四步是什么(路由器安全設(shè)置十四步視頻)的介紹到這里就結(jié)束了，想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。