路由器安全配置策略(精选七篇)
路由器安全配置策略 篇1
1.1 设置密码出现失误。
通常, 我们在使用路由器的基本的过程中会对网络的使用设置一个通行证, 也就是密码。使用网络的人必须正确输入密码并且经过验证后, 才可以顺利的进入网络。密码的保存通常是分成明码文本和加密文本两种, 前者在经过配置相关的文件的时候是能够直接进行读取的, 但是后者则是不能进行直接的读取的。我们在日常的大多数需要密码设置的时候, 经常出现不设密码或缺省密码的情况, 经常会在实际的使用中给网络安全带来隐患。
1.2 错误配置。在路由器的配置过程中, 经常会出现广播服务识别码的错误与访问控制错误。
1.3 不到位的远程控制管理。
网络设备的管理在一般情况下都会涉及到telnet及网络管理软件等, 在这些操作过程当中, 很多用户都不会进行限制, 也因此带来了一定的使用的隐患。很多时候, 设备与网络连接运行、个别软件不够安全、在网络上泄露了路由设备的具体的方位等行为或错误都会给路由器的配置造成影响。
2 对路由器的配置策略及其智能提取技术的分析
2.1 文本分段。
功能上, 编译识别器负责识别文本的各部分的配置命令, 同时对路由器的配置文本进行读取, 而针对命令对象的识别, 需要在对应的数据库中的对应的信息进行标注和匹配, 在有序命令中形成一个组巢。
2.1.1 数据库支持。
对应的数据库里, 分别标注支持数据库的各部分的命令对象, 如果是有区别的命令行, 对应的标注内容基本上也有差异, 比如说在某台路由器的命令里, 集中的不同的命令对象, 我们使用二元组来进行表达, 如下:
2.1.2 文本的分段算法。以集合的关系表示
上文中的Pi是在进行分段后的一些元组的组合, 用于实现模糊的分段, 我们都知道, 因为路由器配置命令有其一定的特殊性, 它对不同的配置策略也有不同的命令, 可以将两者看成一种函数关系, 大部分命令元祖的策略归属属性都是单一的, 在集合中也都是由单元组与双元祖构建而成, 策略归属的判断基本上都在很大程度上避免二义性, 因此能够保证分段的精准度。推理可以很快发现配置和策略的关系, 并且通过这层关系优化系统。
2.2 推理技术。
通常, 文本数据进行了分段的处理后, 会通过智能推理来得知路由器配置。推理即从已知的信息里进行推理, 得出深层的信息, 或获得新知识的非常常见的途径, 推理需要根据前提, 以及结论的传递方式的差异。推理基本上是分成演绎推理和归纳推理两种的。
2.2.1 知识表示。通常, 知识表现为产生式规则, 一般是IF (前提) 、THEN (结论) 的形式, 规则的表示结构则是以BNF范式:
我们为了便于推理的过程, 因此任何的规则都需要包括外部与内部这样两种不同的形式, 将命令对象以谓词形式表示。
2.2.2 可信度。
通常我们理解的可信度指的是, 在经验的基础上, 对某个事物以及现象认定是否是真实的, 通常会表示成是命令归属策略包含的一些不确定因素, 同时命令对象基本上会附带两个数据, 通过它们衡量主观上它属不属于某个策略。
2.2.3 合成算法
上面写出的公式同时观察e1与e2, 对我们设定的假设可信的程度计算, 满足交换律, 其计算结果和观察的次序是无关的。不确定作用的几条命令逐渐的增强对某一结论的可信度较大。
2.2.4 可信度计算法。我们先假设, 析取与合取二者的可信度是依靠于MD与MB之间的共同计算, 则如下表示:
我们使用一致度比较高的公式计算MD的数值, 在进行归属策略的提取的过程当中, 为实现配置策略及命令的诊断打下了非常稳定的基础。路由器配置的命令对象通常都不是单一的, 这些对象基本上都能匹配各自的证据。由此我们可以认为, 这些证据中有了相互依赖的联系, 给予比较好的可信度, 这也就说明在这样的模式下, 我们可以认为路由器配置的可信度是最基本的规则。
结束语
我们的现实生活中, 路由器非常的有序, 在进行策略的配置的时候都可能有一些相同的特点。路由器的配置是否合理关系到整个网络在运行过程中是否正常化, 本文所述的路由器配置策略的智能提取技术来源都是基于推理过程分析而来, 策略的区分越精细, 提取策略的准确度也越高, 因此, 我们在进行路由器的文本配置必须要非常的准确, 这才能够保证路由器配置的科学性。
摘要:计算机应用的迅速发展, 互联网技术在使用过程中路由器是其不可缺少的一部分, 是外部网络与局域网连接的桥梁, 在如此繁琐并不断加大的网络复杂化情况下, 要保证路由器的配置在合理的情况下进行, 因为, 网络性能直接受到路由器能否正常工作的直接影响。本文主要考察路由器的基本的安全设置进行了相关的策略分析。
关键词:路由器配置,策略,智能提取技术
参考文献
[1]葛敬国, 贺鹏, 杨建华, 张建华.通用平台虚拟路由器转发性能测试与改进[J].电子科技大学学报, 2014 (1) .
[2]吕凌.无线路由器平台构建及其嵌入式IPv6协议栈的研究与实现[D].广州:广东工业大学, 2011.
[3]刘成.利用无线路由器轻松实现无线上网[J].微电脑世界, 2012 (6) .
Cisco路由器简易安全配置 篇2
1,严格控制可以访问路由器的管理员,任何一次维护都需要记录备案。
2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3,严格控制CON端口的访问。具体的措施有:
A,如果可以开机箱的,则可以切断与CON口互联的物理线路。B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。C,配合 使用访问控制列表控制对CON口的访问。如:Router(Config)#Access-list 1 permit 192.168.0.1Router(Config)#line con 0Router(Config-line)#Transport input noneRouter(Config-line)#Login localRouter(Config-line)#Exec-timeoute 5 0Router(Config-line)#access-class 1 inRouter(Config-line)#endD,给CON口设置高强度的密码。
4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
Router(Config)#line aux 0Router(Config-line)#transport input noneRouter(Config-line)#no exec
5,建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rdRouter(Config)#privilege EXEC level 10 telnetRouter(Config)#privilege EXEC level 10 show ip access-list
6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。
8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShinRouter(Config)#ip ftp password 4tppa55w0rdRouter#copy startup-config ftp:
9,及时的升级和修补IOS软件。
二,路由器网络服务安全配置
1,禁止CDP(Cisco Discovery Protocol)。如:Router(Config)#no cdp runRouter(Config-if)# no cdp enable2,禁止其他的TCP、UDP Small服务。Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers3,禁止Finger服务。Router(Config)# no ip fingerRouter(Config)# no service finger4,建议禁止HTTP服务。Router(Config)# no ip http server如果启用了HTTP服务则需要对其进行安全配置:
设置用户名和密码;采用访问列表进行控制。如:Router(Config)# username BluShin privilege 10 G00dPa55w0rdRouter(Config)# ip http auth localRouter(Config)# no access-list 10Router(Config)# access-list 10 permit 192.168.0.1Router(Config)# access-list 10 deny anyRouter(Config)# ip http access-class 10Router(Config)# ip http serverRouter(Config)# exit5,禁止BOOTp服务。Router(Config)# no ip bootp server禁止从网络启动和自动从网络下载初始配置文件。Router(Config)# no boot networkRouter(Config)# no servic config6,禁止IP Source Routing。Router(Config)# no ip source-route7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp8,明确的禁止IP Directed Broadcast。Router(Config)# no ip directed-broadcast9,禁止IP Classless。Router(Config)# no ip classless10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。
或者需要访问列表来过滤。如:Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RWRouter(Config)# no access-list 70Router(Config)# access-list 70 deny anyRouter(Config)# snmp-server community MoreHardPublic Ro 70Router(Config)# no snmp-server enable trapsRouter(Config)# no snmp-server system-shutdownRouter(Config)# no snmp-server trap-anthRouter(Config)# no snmp-serverRouter(Config)# end12,如果没必要则禁止WINS和DNS服务。Router(Config)# no ip domain-lookup如果需要则需要配置:Router(Config)# hostname RouterRouter(Config)# ip name-server 202.102.134.9613,明确禁止不使用的端口,
Router(Config)# interface eth0/3Router(Config)# shutdown
三,路由器路由协议安全配置
1,首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。Router(Config)# no ip proxy-arp 或者Router(Config-if)# no ip proxy-arp2,启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。Router(Config)# router ospf 100Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100! 启用MD5认证。! area area-id authentication 启用认证,是明文密码认证。!area area-id authentication message-digestRouter(Config-router)# area 100 authentication message-digestRouter(Config)# exitRouter(Config)# interface eth0/1!启用MD5密钥Key为routerospfkey。!ip ospf authentication-key key 启用认证密钥,但会是明文传输。!ip ospf message-digest-key key-id(1-255) md5 keyRouter(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey3,RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。Router(Config)# config terminal! 启用设置密钥链Router(Config)# key chain mykeychainnameRouter(Config-keychain)# key 1!设置密钥字串Router(Config-leychain-key)# key-string MyFirstKeyStringRouter(Config-keyschain)# key 2Router(Config-keychain-key)# key-string MySecondKeyString!启用RIP-V2Router(Config)# router ripRouter(Config-router)# version 2Router(Config-router)# network 192.168.100.0Router(Config)# interface eth0/1! 采用MD5模式认证,并选择已配置的密钥链Router(Config-if)# ip rip authentication mode md5Router(Config-if)# ip rip anthentication key-chain mykeychainname4,启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。
在OSPF协议中是禁止转发和接收路由信息。! Rip中,禁止端口0/3转发路由信息Router(Config)# router RipRouter(Config-router)# passive-interface eth0/3!OSPF中,禁止端口0/3接收和转发路由信息Router(Config)# router ospf 100Router(Config-router)# passive-interface eth0/35,启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255Router(Config)# access-list 10 permit any! 禁止路由器接收更新192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 in!禁止路由器转发传播192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 out6,建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。Router# config t! 启用CEFRouter(Config)# ip cef!启用Unicast Reverse-Path VerificationRouter(Config)# interface eth0/1Router(Config)# ip verify unicast reverse-path四,路由器其他安全配置1,及时的升级IOS软件,并且要迅速的为IOS安装补丁。2,要严格认真的为IOS作安全备份。3,要为路由器的配置文件作安全备份。4,购买UPS设备,或者至少要有冗余电源。5,要有完备的路由器的安全访问和维护记录日志。6,要严格设置登录Banner。必须包含非授权用户禁止登录的字样。7, IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);
RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);
科学文档作者测试用地址(192.0.2.0/24);
不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);
校园网双线路路由配置策略 篇3
[关键词] 校园网 策略路由 双线路 NAT
随着信息化水平的不断提高,中职学校校园网作为信息化建设的基础设施,正逐渐成为教学、科研和管理信息化的重要平台。宁波地区中职学校早期均通过教育部门的城教网接入Internet,基于校园网的办公系统、FTP、邮件系统、内部网站、选课系统等,都可以通过这个平台对用户提供服务,随着信息化水平的普遍提高,对网络的要求也越来越高,单一通过城教网访问Internet速度越来越不满足要求,很多中职学校也相继通过中国电信或中国网通接入Internet,结果促使许多校园网都采用同时接入城教网与电信(或网通)的双出口网络方案。这样使得校园网的出口比较复杂,如果设计不当,容易造成设备性能得不到充分发挥,通信质量下降,甚至网络无法访问等问题。下面,以我校宁波电子职高一个电信出口和一个城教网出口的网络为例,说明多出口校园网中的策略路由配置。
一、校园网体系结构和需求分析
我校园网共有两个出口,一个是城教网出口,另外一个是电信出口,拓扑结构采用当前校园网典型架构,其出口拓扑如上图所示。
由于采用双线路出口,那么如何设置路由以充分利用二条线路的资源是一个必须面对的问题。处理两条线路的带宽分配,最简单的办法是直接将默认路由设置为两条线路对端的路由上,这样路由器能够动态分配网络流量。但实际运行后发现,校园网访问公网速度并没有明显提高,出现网络访问时快时慢的现象,有时甚至出现网络中断现象。通过路由器NAT转换分析发现,路由器并没按照带宽多少动态分量数据流量,而是随机根据用户访问进行NAT转换,这种负载均衡的方法实际意义并不大,城教网总的出口带宽是共享易受干扰,网络访问高峰时分配带宽更突显不足,部分走城教网线路出口的客户没有明显感受访问速度的提升,为了更好地利用城教网线路,发挥该线路分担流量和备份功能,提出如下需求:
1.全面提高网络的访问速度。自动判断用户访问的目标地址,从不同线路出口,达到高效访问城教网资源和高速访问互联网的目的。
2.实行负载均衡。机房均通过城教网出去,其它所有的公网流量都从电信出口出去。
3.城教网线路作为电信线路备份,一条电信出口线路出现故障时,所有出口均通过城教网访问,保障网络不会中断。
二、基于策略的路由技术概述
策略路由(Policy-Basedrouting)是路由器的一项扩展功能。它不仅能以目的地址为依据来进行路由选择,还能根据源IP地址、目的IP址、协议字段,甚至于TCP、UDP的源、目的端口等多种组合进行路由选择。简单地说,只要IP 标准或扩展的访问控制列表(Standard/ExtendedACL)能设置的,都可以作为策略路由的匹配规则进行转发。
基于策略的路由比传统路由强并使用更灵活,它使网络管理者能够根据报文大小、应用或IP源地址来选择转发路径,策略可以定义为通过多路由器的负载平衡或根据总流量在各线上进行转发的服务质量(QOS)。
在具体的应用中,基于策略的路由有目的策略和源地址策略。基于目的地址的策略路由一般用于网络的出口,针对访问不同的目的地设置不同的路由。如我校内网访问城教网资源使用城教网线路就是基于目的地址策略路由。基于源地址的策略路由,主要针对数据包的来源设置不同策略规则,这样可以根据用户IP地址的不同设置不同的策略路由,源地址策略路由适合于对不同级别的用户设置不同的路由策略。
三、双线路策略路由在校园网中的实施及主要配置
校园网内使用的IP 地址范围为192.168.0.0/16,城教网出口网关地址为10.10.2.2/24,电信出口网关地址为201.64.12.2/28,主要配置如下:
1.接口配置
2.定义策略路由
(1) 定义ACL 规则
对于机房访问公网,定义源地址策略,对于访问城教网资源定义基于目的地址的策略。
(2) 定义策略路由
定义策略路由名字为out,指定ACL 111 到策略中,符合ACL 111中规则的信息指定下一跳地址为10.10.2.1 (城教网)。
3.把策略路由out 指定给内网口f0/2 使其能使用:
4.设置浮动路由
浮动路由不能被永久地保存在路由表中,它仅仅出现在一条首选路由选择失败的时候,通常用作路由备份它是在原有的静态路由条目后面加上管理距离值来实现的。
在这里,当下一跳201.64.12.2不可用,路由选择会自动走10.10.2.2这条路,当首选链路起来后备份链路又会闲置。通过浮动路由设置,保证线路正常时内网访问城教网资源和机房访问公网时走城教网线路,同时城教网线路作为电信线路备份。
结论:通过以上配置达到了预期目的,使校园网用户访问城教网和电信网站均达到了较高的速度。同时,城教网线路作为电信线路备份,当电信线路出故障后不影响整个网络的访问。
由于网络的结构越来越复杂,对于一些有特殊要求的组网,需要仔细地分析用户网络的拓扑结构,了解各种数据的流向,然后采取相应的对策。使用策略路由可以按照既定的策略灵活地控制网络数据包的流向,满足校园网络用户对多条网络出口组网的需求。
参考文献:
[1]董民,周卫东,沈庆国.路由器原理、操作及应用[M].北京:国防工业出版社,2006.
路由器的安全配置与安全维护分析 篇4
随着科学技术的不断发展, 计算机应用在各行各业的深入和普及应用, 以及由此衍生的网络安全成为现代计算机应用过程中的一个重要课题。网络发展朝着开放性高、共享程度大、互联网程度广的密集型网路方向发展, 在许多需要数据保护的行业, 例如银行、证券公司、股票、电子商务等等, 网络安全的设置和维护更为重要。保护网络安全的一个重要的关键环节就是对网络设备安全的保护, 路由器是整个网络接收和传送的关键设备, 所以做好路由器的安全配置和安全维护是保障整个网络安全的基础和关键。
在实际的网络安全管理过程中, 许多管理人员和作业人员都没有能够深刻的认识到路由器对整个网络安全性的影响。假设不进行路由器的安全保护, 数据在传输过程中受到的许多形式的入侵和攻击都不能进行有效的防范, 当数据通过路由器时, 由于路由器没有保护, 其核心程序就会被任意修改, 例如在路由器上植入一些程序可以查看经过此路由器的数据内容和秘密信息。所以设置路由器的安全配备, 例如阻挡、加密等等方式, 来保护网路数据传输的安全性同样十分重要。
2. 路由器的工作原理
路由器主要是用来传输两个不同网路的子网间的数据的, 数据经过路由器后会改变其数据地址, 相当于一个网络中继作用的设备。路由器通常由以下几种基本构件组成:
a.处理器 (CPU) , 用于处理经过的数据, 改变其地址等;
b.内存, 用于存储信息;
c.系统, 用于支持路由器实现各种功能, 加载其他功能软件等;
d.各种接口和端口, 用于链接各个子网间的数据接入和输出。路由器是用来连接多个不同的逻辑网络的, 一个逻辑网络指代一个相对独立的的网络 (网段) , 路由器可以完成从一个逻辑网络到另一个逻辑网络的数据传输。所以, 路由器可以判断出传入数据的网络地址, 并且能够选择将数据传出的路径地址, 通过许多不同的地址的设置, 可以通过路由器在多网络互联的环境下创建方便、灵活、快捷的网络连接方式, 同时可以将不同的数据通过同一个路由传送到不同的目标子网中去, 也可以方便管理和操作。在传输过程中, 数据要通过路由要求要拥有路由协议。
另外, 路由器可以将经过路由器的所有数据进行分类并为数据寻找一条最优传输路径, 最终实现数据内容的有校传送。所以一个路由器的能力大小决定因素是该路由器对数据处理过程中的选择最佳路径的计算。路由器在完成这项功能时, 路由器会将各个数据的传输路径保存起来, 并记录形成路径表, 为路由器数据传输时使用。需要保存和记录的数据信息包括子网的标识信息、数据的来源地址、下一个路由器的地址等。路径表可以通过系统自动进行储存修改, 也可以管理员进行调整固定, 这就极大程度上的扩大了路由器传输的自由行和方便性。
路由器可以应用到各种类型的网路配备, 不管是小型的个人计算机之间的数据传输, 还是大规模的复杂的网络环境, 其都可以对传输的数据尽享筛选, 并分配最佳路径, 节约局域网的频宽等优点。
3. 路由器的应用现状
在实际路由器的应用过程中, 大多数企业都没有对路由器的安全给予很大的重视, 许多企业的网络管理工作人员对此也不是十分了解, 这样就造成了路由器在安全层面上存在着很大的安全漏洞和隐患, 另外, 在路由器使用过程中也会出现以下问题:
3.1 设施设备配备不齐。
由于各个企业对于路由器的安全防护意识比较薄弱, 所以在经费投入方面投入就会短缺, 许多机房的设计都不科学合理:缺乏系统网络安全的基础设施的配备, 如未配备防火墙;没有抗静电抗磁干扰等设备, 甚至没有很好的降温措施的设备, 造成路由器运行效率降低, 这些都会使路由器处在基本开放的状态, 不能有效的进行安全预警和安全防护防范。
3.2 网络安全管理意识淡薄, 管理方式和管理制度缺陷。
路由器的工作状态的安全顺利进行需要很多因素的保障。路由器的设置正确是保障路由器正常工作的前提;传入端的数据安全会因为企业员工使用不安全的移动存储设备, 造成传输数据的病毒感染;连接的下端子网的上网身份不确定, 不能对其进行严格的控制, 所以不能很好的约束非法访问。这些因素都对路由器的安全造成很大的隐患。
3.3 技术漏洞。
技术上的漏洞主要是路由器的系统安全问题。其安全漏洞可能会被利用, 进而遭到恶意攻击, 例如假冒身份、流量限制、非授权访问、病毒干扰等。此外, 加载路由器系统的软件一定程度上也存在技术漏洞, 常见的是在协议上的更改等。
4. 路由器的安全配置策略
目前市面上和网路服务上应用的路由器本身已经具有一定的安全防范功能, 例如对访问列表的限制、加密等功能, 但是在基础配备不完全的情况下, 许多安全防范功能是不能实现的, 这就造成了一定的漏洞和隐患, 同时仅仅使用路由器本身的这些安全防护功能时远远不够的, 网路管理人员应当根据路由器现实的配备情况采用合理科学的安全防护措施, 从而保障整个网络的数据安全性。
4.1 设置路由器口令
口令包括管理路由器的登陆口令, 账户信息的口令等等, 是防止没有授权的不明地址访问路由器的主要手段和安全防护的基础设置。每一个路由器本身都会有一个可以进行本地配备和设置的登陆端口和口令设置端口, 这个口令是管理员进行设置的, 如果没有该口令就不能通过远程访问的方法对路由器进行配置的更改和调整。大多数的路由器在出厂时都会给一个默认的用户名和密码登陆端口, 许多管理人员对其不进行修改, 这样就产生了很大的安全隐患。通常黑客在对口令进行攻击时, 常常根据弱口令甚至默认的口令加以利用。所以在口令的设置时, 可以通过采取加长口令长度和加大复杂程度, 定期更换口令密码等方式方法进行防治和防护。另外, 对于路由器上的加密功能也应同时启用, 这样黑客在进行攻击时, 首先要破译加密口令文件, 才能进行下一步的攻击。网络管理人员也另外加载一些验证协议, 这样路由器在有访问情况下会对管理员进行验证提示, 从而起到双重保障的作用。
4.2 控制交互式逻辑访问
控制交互式的逻辑访问主要是通过控制访问列表实现的, 任何登陆到路由器的访问者都会在路由器上留下配备信息, 这些配备信息不是第一时间就会删除的, 黑客通常会利用这种信息对路由器的登陆信息进行扑捉和破译, 进而可以构造出假的口令对路由器进行远程登陆, 这样就可以获取真实口令, 实现非法活动的进行和实施。
在对访问列表的控制方法设置上, 可以通过访问列表的方法进行控制, 在路由器上设置特定的物理地址的访问列表, 禁止其他地址的地址进行访问该路由器, 同时应当对超出路由器以往的配备信息进行失时效的控制, 对超出生存时间的信息严格访问权限。
4.3 管理路由器服务的设置
配备许多服务对于路由器的功能的强大有很大的作用, 许多协议都是构架在一些关键服务的基础上的, 但是近些年里, 网络安全事故有部分就是黑客利用了路由器系统中不常用的非关键服务端口漏洞进行攻击的。对于经常用到的路由器管理协议的服务加以监控, 关闭一些不常用的服务是很必要的。
流量控制:现在许多攻击手段都是通过发送大量的无用包, 占用宽带网络资源, 导致网络或者路由器设备负荷, 最终造成网络漏洞甚至瘫痪。路由器作为数据传输过程中的中转关键, 可以对其进行流量的限制而减轻网络在此种情况下的控制, 需要注意的是攻击方式的不同采用不同的防止措施才能有效的起到防止泛洪攻击。另外, 也可以在路由器的下一级连接点的交换机上也进行流量控制, 辅助完成对整体网路的流量控制。
此外, 在路由器的安全配置和安全维护方面还要做好对路由配置的实时监控和管理。通过系统日志消息对路由器的使用情况、配置更改情况严格的把控, 进而保障路由器的安全和整个网路的安全。
5. 总结
通过第四节的配置方法和注意事项的管理, 就可以实现路由器在使用过程中的大体安全性, 另一方面, 路由器不是万能的, 它不能完全的过滤掉网络传输过程中的非法程序或者隐藏病毒等, 而且路由器对于内网的攻击防范是无能为力的, 一个安全的路由器网络的配置需要很多管理制度的支持, 在路由器的使用过程中, 逐步建立配套的管理方法和配置要求是保障其安全性的关键。
摘要:随着网路技术的普及和广泛应用, 网络安全成为应用过程中的重要课题。路由器是整个网路应用中的关键枢纽, 本文通过对路由器的安全性配置分析, 为网路安全的保障提供帮助和指导。
关键词:路由器,安全配置,安全维护
参考文献
[1]杨祺.路由器安全性探析[J].科技创新导报, 2010, 29
[2]于振海.利用路由器加强网络安全的研究与实现[J].山东理工大学学报 (自然科学版) , 2005 (05) .
Cisco基于策略路由的配置实例 篇5
您可以定义自己的规则来进行数据包的路由而不仅仅由目的地地址所决定,在这里
您可以学到怎么使用基于策略路由的办法来解决这一问题。
在具体的应用中,基于策略的路由有:
☆ 基于源IP地址的策略路由☆ 基于数据包大小的策略路由☆ 基于应用的策略路由☆ 通过缺省路由平衡负载
这里,讲述了第一种情况的路由策略。
举例
在这个例子中,防火墙的作用是:把10.0.0.0/8内部网地址翻译成可路由的172.16
.255.0/24子网地址。
下面的防火墙配置是为了完整性而加进去的,它不是策略路由配置所必需的。在这
里的防火墙可以被其它类似的产品代替,如PIX或其它类似防火墙设备。这里的防火墙的
配置如下:
!ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24ip nat inside source list 1 pool net-10!interface Ethernet0 ip address 172.16.20.2 255.255.255.0 ip nat outside!interface Ethernet1 ip address 172.16.39.2 255.255.255.0 ip nat inside!router eigrp 1 redistribute static network 172.16.0.0 default-metric 10000 100 255 1 1500!ip route 172.16.255.0 255.255.255.0 Null0access-list 1 permit 10.0.0.0 0.255.255.255!end
在我们的例子中,Cisco WAN路由器上运行策略路由来保证从10.0.0.0/8网络来的I
P数据包被发送到防火墙去。配置中定义了两条net-10策略规则。第一条策略就定义了从
10.0.0.0/8网络来的IP数据包被发送到防火墙去(我们很快会看到这里的配置有问题)
。而第二条规则允许所有的其它数据包能按正常路由。这里的Cisco WAN路由器的配置如
下:
!interface Ethernet0/0 ip address 172.16.187.3 255.255.255.0 no ip directed-broadcast!interface Ethernet0/1 ip address 172.16.39.3 255.255.255.0 no ip directed-broadcast!interface Ethernet3/0 ip address 172.16.79.3 255.255.255.0 no ip directed-broadcast ip policy route-map net-10!router eigrp 1 network 172.16.0.0!access-list 110 permit ip 10.0.0.0 0.255.255.255 172.16.36.0 0.0.0.255access-list 111 permit ip 10.0.0.0 0.255.255.255 any!route-map net-10 permit 10 match ip address 111 set interface Ethernet0/1!route-map net-10 permit 20!end
我们可以这样测试我们所做的配置。在名为Cisco-1的路由器10.1.1.1上发送ping命
令到Internet上的一个主机(这里就是192.1.1.1主机)。要查看名为Internet Router
的路由器上的情况,我们在特权命令模式下执行debug ip packet 101 detail命令。(
其中,在此路由器上有access-list 101 permit icmp any any配置命令)。下面是输出结果:
Results of ping from Cisco-1 to 192.1.1.1/internet taken from Internet_Router:Pakcet never makes it to Internet_Router
正如您所看到的:数据包没有到达Internet_Router路由器,
下面的在Cisco WAN路
由器上的debug命令给出了原因:
Debug commands run from Cisco_WAN_Router:”debug ip policy“2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match2d15h: IP: route map net-10, item 10, permit2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100,policy routed2d15h: IP: Ethernet3/0 to Ethernet0/1 192.1.1.1
这里,数据包确实匹配了net-10策略图中的第一条规则。但为什么还是没有达到预
期的目的呢?用”debug arp“来看一下。
”debug arp“2d15h: IP ARP: sent req src 172.16.39.3 0010.7bcf.5b02,dst 192.1.1.1 0000.0000.0000 Ethernet0/12d15h: IP ARP rep filtered src 192.1.1.1 00e0.b064.243d, dst 172.16.39.30010.7bcf.5b02 wrong cable, interface Ethernet0/1
debug arp的输出给出了原因。路由器努力完成它被指示要做的动作,而且试图把数
据包发向Ethernet0/1接口,但失败了。这要求路由器为目的地址192.1.1.1执行地址解
析协议操作,当执行该任务时,路由器知道了目的地址不处于该接口。接下来,路由器
发生封装错误。所以,最后数据包不能到达192.1.1.1。
我们怎样避免这个问题呢?修改路由图使防火墙地址为下一跳。
Config changed on Cisco_WAN_Router:!route-map net-10 permit 10 match ip address 111 set ip next-hop 172.16.39.2!
修改后,在Internet Router上运行同样的命令:debug ip packet 101 detail。这时,
数据包可以按配置前进。我们也能看到数据包被防火墙翻译成了172.16.255.1。192.1.
1.1主机的回应:
Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_Router:2d15h: IP: s=172.16.255.1 (Ethernet1), d=192.1.1.1 (Serial0), g=192.1.1.1, len 100, forward2d15h: ICMP type=8, code=02d15h:2d15h: IP: s=192.1.1.1 (Serial0), d=172.16.255.1 (Ethernet1), g=172.16.20.2, len 100, forward2d15h: ICMP type=0, code=02d15h:
在Cisco WAN路由器上执行debug ip policy命令后,我们可以看到数据包被传递到了防火墙,172.16.39.2:
路由网络RIP协议安全配置 篇6
RIP现有v1和v2两个版本, 无论v1还是v2版本, RIP协议都是一个是基于UDP协议的应用层协议, 所使用源端口和目的端口都是UDP端口520, 在经过IP封装时, RIPv1版本和RIPv2版本有一些区别, RIPv1的目的IP地址为255.255.255.255 (有限广播) , RIPv2的目的IP地址为组播地址224.0.0.9, 源IP为发送RIP报文的路由器接口IP地址。
由于RIPv1版本为有类路由, 不支持可变长子网掩码VLSM (Variable Length Subnet Mask) , 因此在实际应用中, 主要使用RIP的v2版本。
RIPv2的路由信息报文封装结构与RIPv1基本相同, 主要是在路由信息中增加了4个字段, 分别是路由标记、子网掩码、下一跳路由器IP地址、RIP验证。如图1为RIPv2路由信息报文, 图2为RIPv2验证信息报文, 如果是RIPv2路由信息报文, 则报文内容部分最多可以有25个路由信息, 如果是RIPv2验证信息报文, 则报文内容包含20字节的验证信息和最多24个路由信息, 故RIPv2最大报文为25×20+4=504字节。
RIPv2各字段的含义解释如下:
1) 命令:1字节, 值为1时表示路由信息请求, 值为2时表示路由信息响应。
2) 版本:1字节, 值为1表示RIP协议版本为1, 值为2表示RIP协议版本为2。
3) 地址类型标识:2字节, 用来标识所使用的地址协议, 如果该字段值为2, 表示后面网络地址使用的是IP协议。
4) 路由标记:2字节, 提供这个字段来标记外部路由或重分发到RIPv2协议中的路由。如果某路由器收到路由标记为0的RIPv2路由信息报文, 说明该报文是和本路由器同属一个自治系统的路由器发出的, 如果收到路由标记不为0的RIPv2路由信息报文, 说明该报文是路由标记数字所指示的自治系统发出的。使用这个字段, 可以提供一种从外部路由中分离内部路由的方法, 用于传播从外部路由协议EGP获得的路由信息。
5) 网络地址:路由表中路由条目的目的网络地址。
6) 子网掩码:路由表中路由条目的子网掩码。
7) 下一跳路由器IP地址:路由表中路由条目的下一跳路由器IP地址。
8) 代价值:表示到达某个网络的跳数, 最大有效值为15。
RIPv2在v1版的基础上新增了验证功能, 这样就避免了许多不安全因素。没有验证的情况下, 路由器可能会接收到一些不合法的路由更新, 而这些路由更新的源头可能是一些恶意的攻击者, 他们试图通过欺骗路由器, 使得路由器将正常数据转发到黑客的路由器上, 通过Sniffer等工具抓包来获得一些机密信息。
RIPv2支持明文验证, 它的实现方法是将RIP报文中, 原本属于第一个路由信息的20字节交给验证功能。0x FFFF为验证标志。现在没有公开的标准来支持RIPv2的密文验证, 不过在CISCO公司的产品中, 支持MD5密文验证。
9) 验证类型:当验证类型为0x0002时, 表示采用明文验证。
10) 验证信息:16个字节存放的为RIP的明文密码, 不足16位时用0补足。
以下以图3为例, 使用Cisco公司路由器产品说明RIPv2协议验证的配置方法。注意两台路由器配置用于RIP验证的密码必须相同。
通过以上配置R1、R2之间可以验证后相互学习路由, 如果验证不能通过 (如密码不一样或验证模式不一样) , 则两台路由器之间不能相互学习路由。
这里需要注意的是, 在Cisco的路由器上RIP验证的时候, 验证方向被验证方发送的是最小key值所对应的keystring密码, 只要被验证方有和验证方一样的密码, 验证就可以通过, 验证过程中只与key-string密码有关, 而与key值无关。如图4所示。
R1向R2发出验证请求, 发出key1的key-string apple, R2收到后没有相应的密码对应, 所以R2没有通过R1的验证, 因此R2学不到R1上的路由信息。
R2向R1发出验证请求, 发出key1的key-string watermelon, R2收到后可以找到相应的密码对应, 所以R1通过R2的验证, 因此R1可以学到R2上的路由信息。
综上所述, 虽然RIP协议在网络规模、安全性方面有着本身协议性上的不足, 例如RIP并没有国际性标准化的安全认证和加密方案, 但是由于RIP协议的简单便捷, 并且随着广域网络带宽速率的不断增加, 在中小型网络中RIP有着其独特的应用范围和环境, 通过RIP标准中的明文验证和企业私有标准的密文验证, 同样可以使得在路由网络中RIP安全可靠地运行。
摘要:在路由网络中, RIP协议由于简单便捷得到了广泛的使用, 但是网络安全的问题逐渐突出, 如何保证RIP协议的安全运行成为了路由网络不容忽视的问题, 通过在路由器之间建立RIP协议的验证机制, 从而保证路由网络的正常安全运行。
关键词:路由信息协议,可变长子网掩码,MD5加密,钥匙串,钥匙字符串
参考文献
[1]《CCNP学习指南:组建Cisco多层交换网络 (BCMSN) (第4版) 》 (, 美) Richard Froom著, 人民邮电出版社, 2007年.
[2]《CCNP学习指南:组建可扩展的Cisco互连网络 (BSCI) (第3版) 》, (美) Diane Teare著, 人民邮电出版社, 2007年.
[3]《CCNP四合一学习指南 (中文版) 》, (美) Wade Edward著, 人民邮电出版社, 2005年.
[4]《思科网络技术学院教程CCNA交换基础与中级路由》, (美) Wayne Lewis著, 人民邮电出版社, 2008年.
[5]《思科网络技术学院教程CCNA路由器与路由基础》, (美) Wendell Odom著, 人民邮电出版社, 2008年.
[6]《网络互联设备》, (美) Kenneth D著, 电子工业出版社, 2002年.
[7]《思科网络实验室路由、交换实验指南》, 梁广民著, 电子工业出版社, 2007年.
[8]“RIP Version2-Carrying Additional Information”, Malkin.G., RFC1388, Xylogics, January1993.
路由器安全配置策略 篇7
校园网体系结构和需求分析
我校园网共有两个出口, 一个是城教网出口, 另外一个是电信出口, 拓扑结构采用当前校园网典型架构, 其出口拓扑如上图所示。
由于采用双线路出口, 那么如何设置路由以充分利用二条线路的资源是一个必须面对的问题。处理两条线路的带宽分配, 最简单的办法是直接将默认路由设置为两条线路对端的路由上, 这样路由器能够动态分配网络流量。
但实际运行后发现校园网访问公网速度并没有明显提高, 出现网络访问时快时慢的现象, 有时甚至出现网络中断现象。通过路由器NAT转换分析发现, 路由器并没按照带宽多少动态分量数据流量, 而是随机根据用户访问进行NAT转换, 这种负载均衡的方法实际意义并不大, 城教网总的出口带宽是共享易受干扰, 网络访问高峰时分配带宽更突显不足, 部分走城教网线路出口的客户没有明显感受访问速度的提升, 为了更好地利用城教网线路, 发挥该线路分担流量和备份功能, 提出如下需求:
1. 全面提高网络的访问速度:自动判断用户访问的目标地址, 从不同线路出口, 达到高效访问城教网资源和高速访问互联网的目的。
2. 实行负载均衡:机房均通过城教网出去, 其它所有的公网流量都从电信出口出去。
3.城教网线路作为电信线路备份, 一条电信出口线路出现故障时, 所有出口均通过城教网访问, 保障网络不会中断。
基于策略的路由技术概述
策略路由 (Policy-Basedrouting) 是路由器的一项扩展功能。它不仅能以目的地址为依据来进行路由选择, 还能根据源IP地址、目的IP址、协议字段, 甚至于TCP、UDP的源、目的端口等多种组合进行路由选择。简单地说, 只要IP标准或扩展的访问控制列表 (Standard/ExtendedACL) 能设置的, 都可以作为策略路由的匹配规则进行转发。
基于策略的路由比传统路由强并使用更灵活, 它使网络管理者能够根据报文大小、应用或IP源地址来选择转发路径, 策略可以定义为通过多路由器的负载平衡或根据总流量在各线上进行转发的服务质量 (QOS) 。
在具体的应用中, 基于策略的路由有目的策略和源地址策略:基于目的地址的策略路由一般用于网络的出口, 针对访问不同的目的地设置不同的路由。如我校内网访问城教网资源使用城教网线路就是基于目的地址策略路由。基于源地址的策略路由, 主要针对数据包的来源设置不同策略规则, 这样可以根据用户IP地址的不同设置不同的策略路由, 源地址策略路由适合于对不同级别的用户设置不同的路由策略, 如对我校机房访问公网走城教网的策略, 策略路由可以应用于出口设备上, 也可应用于网络内部核心或汇聚设备上。
双线路策略路由在校园网中的实施及主要配置
校园网内使用的IP地址范围为192.168.0.0/16, 城教网出口网关地址为10.10.2.2/24, 电信出口网关地址为201.64.12.2/28, 主要配置如下:
1.接口配置
2. 定义策略路由
(1) 定义ACL规则
对于机房访问公网, 定义源地址策略, 对于访问城教网资源定义基于目的地址的策略。
(2) 定义策略路由
定义策略路由名字为out, 指定ACL 111到策略中, 符合ACL111中规则的信息指定下一跳地址为10.10.2.1 (城教网) 。
3. 把策略路由out指定给内网口f0/2使其能使用:
4. 设置浮动路由
浮动路由不能被永久地保存在路由表中, 它仅仅出现在一条首选路由选择失败的时候, 通常用作路由备份它是在原有的静态路由条目后面加上管理距离值来实现的。
在这里, 当下一跳201.64.12.2不可用, 路由选择会自动走10.10.2.2这条路, 当首选链路起来后备份链路又会闲置。通过浮动路由设置, 保证线路正常时内网访问城教网资源和机房访问公网时走城教网线路, 同时城教网线路作为电信线路备份。
结论
通过以上配置达到了预期目的, 使校园网用户访问城教网和电信网站均达到了较高的速度。同时城教网线路作为电信线路备份, 当电信线路出故障后不影响整个网络的访问。
由于网络的结构越来越复杂, 对于一些有特殊要求的组网, 需要仔细地分析用户网络的拓扑结构, 了解各种数据的流向, 然后采取相应的对策。使用策略路由可以按照既定的策略灵活地控制网络数据包的流向, 满足校园网络用户对多条网络出口组网的需求。
