作为企业网与外界连接的最外围安全便捷路由器自然成为企业网的第一道安全屏障,因此,守好第一道关口非常重要。
从严格意义上来讲,路由器本身就是一台具备特殊使命的电脑,通常来说,******路由器的手法与袭击其他计算机的手法大同小异。
管理员可以通过以下五种方法配置路由器:
1 通过console口接终端或运行终端仿真软件的计算机。
2 通过AUX连接MODEM,通过电话线与远方的终端或运行终端仿真软件的计算机相连。
3 通过网络中的TFTP服务器。
4 通过telnet程序。
5 通过网络中的SNMP网管工作站。
通过以上方法可以方便的配置路由器,但同时也留下了安全隐患。一般来讲,针对路由器的***主要分为以下两种类型:
1 通过某种手段或途径获取管理权限,直接侵入到系统的内部。
2 采用远程***的办法造成路由器崩溃四级或是运行小路显著下降。
相对而言,前者的难度要大一些。所以路由器安全问题可以从以下方面着手解决:
1 及时修补程序与更新IOS
2 阻止非必要的数据流,如禁用CDP协议,针对cisco产品
3 加强管理和访问控制 ,应用强密码侧略,控制远程访问与控制台访问。
4 禁用基于web的配置
5 关闭不必要的服务 如bootp 和 dns ,此外还要仔细扫描路由器开放了哪些端口,关闭不必要的端口,可以采用下列语句实现:
都是在全局模式下
no ip domain-lookup
no ip bootp server
no snmp-server
no snmp-server community public RO
no snmp-server conmunity admin RW
5 定期审核和查看日志。
转载于:https://blog.51cto.com/wwwjjj/185741