孟一飛

[摘 要] 當(dāng)前，隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，不論企業(yè)還是個(gè)人都越來越離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)安全也逐漸引起了人們的關(guān)注。然而，在由無數(shù)個(gè)節(jié)點(diǎn)和鏈路構(gòu)建起來的紛繁復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中，看似簡單的路由器卻是網(wǎng)絡(luò)系統(tǒng)中最為核心的節(jié)點(diǎn)，是能夠影響網(wǎng)絡(luò)安全的關(guān)鍵設(shè)備。因此，在網(wǎng)絡(luò)安全管理上，路由器越來越被人們所重視，研究路由器的安全配置就具有了重要的意義。

[關(guān)鍵詞] 路由器；安全；配置

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 11. 088

[中圖分類號(hào)] TP311 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2017）11- 0179- 02

1 路由器的概述

從廣義的角度而言，目前的路由器可以分為有線路由器和無線路由器兩大類。顧名思義，有線路由器就是借助物理連線建立連接的路由器，平時(shí)所說的路由器基本上都是有線路由器，無線路由器是隨著無線網(wǎng)絡(luò)應(yīng)用的快速普及，在近幾年才出現(xiàn)的新產(chǎn)品。無線路由器的功能和有線路由器沒有很大區(qū)別，同樣是用來連接不同的網(wǎng)絡(luò)或Internet接入，不同的是無線路由器的連接不是通過有形的連線實(shí)現(xiàn)的，而是借助無形的電磁波實(shí)現(xiàn)的。

2 影響路由器安全的因素

由于路由器在網(wǎng)絡(luò)中所處的特殊地位，常常受到入侵者的竊聽、拒絕服務(wù)攻擊、非法訪問、植入病毒等惡意性的攻擊；入侵者還會(huì)通過利用所找到的操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)協(xié)議等上面的漏洞，對路由器進(jìn)行攻擊，侵入網(wǎng)絡(luò)系統(tǒng)，發(fā)送大量的數(shù)據(jù)，消耗設(shè)備資源，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)崩潰。

通常，路由器本身會(huì)啟動(dòng)安全機(jī)制來保護(hù)自身的安全，但是僅憑這一點(diǎn)是微不足道的，管理員還需要分析以上兩方面因素形成的原因，采取相應(yīng)的安全手段對路由器進(jìn)行全方位的保護(hù)。

3 路由器的安全配置

3.1 使用大品牌廠商路由器，選擇功能、服務(wù)、質(zhì)量過“硬”的產(chǎn)品

近年來，許多路由器品牌廠商為了使路由器能夠?qū)⒑戏ㄐ畔踩?、及時(shí)、完整地轉(zhuǎn)發(fā)到目的地，在路由器中研究開發(fā)增加安全模塊，將防火墻、防病毒、內(nèi)容過濾等技術(shù)引入到路由器中，生產(chǎn)出了路由器與安全設(shè)備相結(jié)合的產(chǎn)品。這些添加了帶有安全模塊的路由器，與普通路由器相比較，它們能夠通過加密、認(rèn)證等技術(shù)手段將數(shù)據(jù)傳送的安全性提高，同時(shí)與安全設(shè)備的有效結(jié)合也能夠提高路由器本身的安全性和所管理網(wǎng)絡(luò)的可用性。另外，路由器廠商會(huì)針對網(wǎng)絡(luò)上出現(xiàn)的新型病毒及路由器出現(xiàn)的漏洞等方面及時(shí)推出安全補(bǔ)丁，進(jìn)行升級服務(wù)，這樣可以在提升安全性方面起到一定的作用。

3.2 對路由器口令進(jìn)行加密保護(hù)，防止非法訪問

一般情況下，管理員應(yīng)當(dāng)在實(shí)際操作中使用一些認(rèn)證機(jī)制來控制對路由器的訪問。管理員對路由器口令的選擇不能使用常用的英文單詞或容易猜測的組合等等容易被暴力破解的弱加密算法的口令保護(hù)，最好選擇盡量比較長并且包含有一定特殊字符的口令。管理員還可以使用Enable secret password命令將口令使用不可逆加密功能存儲(chǔ)，能為路由器提供更加安全的管理環(huán)境；使用Service password-encryption命令將所有的口令進(jìn)行加密，能防止在顯示路由器配置時(shí)其他人看到口令。這些口令包括用戶名口令、認(rèn)證密鑰口令、特權(quán)命令口令、控制臺(tái)和虛擬終端線路訪問口令等。

3.3 防止拒絕服務(wù)攻擊，關(guān)閉不必要的服務(wù)

拒絕服務(wù)攻擊是一種通過對網(wǎng)絡(luò)設(shè)備發(fā)送大量的、超過設(shè)備處理能力的數(shù)據(jù)，占用設(shè)備資源，導(dǎo)致設(shè)備不能提供服務(wù)，使用戶無法訪問所需信息的攻擊。管理員可以采取一些措施，減少其對路由器的攻擊，避免拒絕服務(wù)攻擊產(chǎn)生危險(xiǎn)。

路由器上可用的虛擬終端端口是有限的，當(dāng)所有的端口都被占用時(shí)其他用戶無法與路由器建立連接，這就為拒絕服務(wù)攻擊提供了目標(biāo)。這時(shí)，入侵者會(huì)通過利用堵塞路由器上所有的虛擬終端端口的方式，使路由器拒絕對管理員及其他用戶服務(wù)。那么在發(fā)生這種情況之前，管理員就應(yīng)在一個(gè)虛擬終端端口上配置限制性的access-class命令，限定可以訪問該端口的管理工作站。這樣，至少有一個(gè)路由器端口可以被訪問，以便在發(fā)現(xiàn)被攻擊時(shí)對路由器進(jìn)行相應(yīng)的操作。同時(shí)，還應(yīng)該配置exec-timeout命令防止空閑的用戶無限制地占用端口，浪費(fèi)資源。

Smurf 是一種新型的拒絕服務(wù)攻擊，它運(yùn)用直接廣播的方式，利用偽造的源地址向直接廣播地址發(fā)送ICMP echo請求包，網(wǎng)絡(luò)上所有接收到該請求包的設(shè)備都將做出應(yīng)答，向所偽造的源地址發(fā)送數(shù)據(jù)，擁有該源地址的設(shè)備將收到大量的數(shù)據(jù)，從而導(dǎo)致該設(shè)備的癱瘓。因此，管理員應(yīng)當(dāng)關(guān)閉廣播包的轉(zhuǎn)發(fā)設(shè)置，以免被作為Smurf 拒絕服務(wù)攻擊的反射板，在每個(gè)端口上配置 no ip directed-broadcast命令。

有些情況下，外部迅速激增的數(shù)據(jù)包會(huì)使路由器浪費(fèi)大量的時(shí)間來處理接口中斷，而沒有時(shí)間處理其他事件，導(dǎo)致路由器處理性能下降。那么，管理員可以使用scheduler interval （較早路由器系統(tǒng)）或scheduler allocate < process-time>（新路由器系統(tǒng)）命令使路由器按照指定的時(shí)間間隔停止處理中斷，改為處理其他事務(wù)，以提高路由器的處理性能。

另外，路由器中運(yùn)行著一些如基于UDP協(xié)議的Echo、Chargen、Discard和Daytime等很少能被使用的服務(wù)，這些服務(wù)主要用于路由器的檢測和調(diào)試，但是非法攻擊者可以利用這些服務(wù)，向路由器發(fā)送大量的數(shù)據(jù)進(jìn)行攻擊，從而導(dǎo)致路由器癱瘓。那么，管理員可以使用諸如No service udp-small-servers命令關(guān)閉這些不必要的服務(wù)，提高路由器的安全性。

4 實(shí)施嚴(yán)格的安全管理

管理員完成對路由器的配置之后，還需要對其進(jìn)行嚴(yán)格的監(jiān)管，以防入侵者通過非法手段竄改路由器的配置。

管理員應(yīng)當(dāng)把路由器配置的備份數(shù)據(jù)妥善保存在指定的地點(diǎn)，以便日后對路由器進(jìn)行更新配置出現(xiàn)問題或遭到攻擊被破壞時(shí)，能夠及時(shí)恢復(fù)到原配置。

另外，為了進(jìn)一步實(shí)現(xiàn)安全、便捷的管理，管理員可以使用安全加密口令與路由器建立遠(yuǎn)程連接，對路由器進(jìn)行遠(yuǎn)程配置，實(shí)現(xiàn)隨時(shí)的管理。

通過上述管理員對路由器進(jìn)行的安全配置，為網(wǎng)絡(luò)系統(tǒng)建立起了第一道安全的大門，將大部分的非法入侵者拒之于門外，并且能夠?yàn)榻档途W(wǎng)絡(luò)系統(tǒng)內(nèi)部實(shí)施的其他安全措施的壓力提供了一定的支撐，同時(shí)還為路由器自身的安全提供了保證，促進(jìn)了其工作效率的進(jìn)一步提高。因此，路由器的安全配置具有十分重要的意義。

主要參考文獻(xiàn)

[1]王海軍.路由器和交換機(jī)的安全技術(shù)研究[J].淮北職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2011，10（3）.

[2]沙尼亞·阿不都吉里.現(xiàn)代網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)絡(luò)中的研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（5）.

[3]于振海. 利用路由器加強(qiáng)網(wǎng)絡(luò)安全的研究與實(shí)現(xiàn)[J]. 山東理工大學(xué)學(xué)報(bào)：自然科學(xué)版，2016（5）.