引言：在管理邊界網(wǎng)絡(luò)的時候，我們時常會遇到形形色色、不如人意的事情。但是只要我們善于注重一些管理細(xì)項，完全可以避免網(wǎng)絡(luò)邊界問題所帶來的麻煩。下面且聽筆者細(xì)細(xì)道來。

提高邊界路由安全能力

為了保護(hù)好管理密碼，一是要定期調(diào)整密碼，建議密碼內(nèi)容同時包含大小寫字母、阿拉伯?dāng)?shù)字以及特殊符號的密碼內(nèi)容。

二是選擇復(fù)雜算法。比方說，使用“enable secret”命令設(shè)置思科邊界路由器后臺管理密碼，這種命令采用的加密算法比較強(qiáng)，用戶輸入的密碼內(nèi)容以加密形式存在，不大容易被人破解。此外，為了保護(hù)邊界路由器配置文件的安全，建議大家同時使用“service passwordencryption”命令，加密保護(hù)邊界路由器配置文件。

三是對連接端口進(jìn)行加密保護(hù)。直連Consol端口，在操作權(quán)限不足的情況下，也能有效控制邊界路由器。基于這一點，大家一定要為邊界路由器直連Consol連接端口設(shè)置保護(hù)密碼。比方說，在為思科邊界路由器設(shè)置直連Consol端口密碼時，只要在后臺系統(tǒng)全局模式下，依次使用“l(fā)ine consol 0”、“password xxxxxx” 命令，就能將保護(hù)密碼設(shè)置為“xxxxxx”了。

四是妥善保管密碼內(nèi)容，主要就是定期修改，將密碼內(nèi)容不要直接寫在邊界路由器外殼身上，或者其他特別明顯的位置。通過強(qiáng)制定期修改密碼的方法，能控制登錄密碼的有效時間，這樣即使登錄密碼被惡意用戶偷窺到，也只能在規(guī)定的時間段內(nèi)才會生效。

其次控制好網(wǎng)絡(luò)訪問。建議大家合理配置其訪問控制列表既能依照實際情況，按需設(shè)置基本標(biāo)準(zhǔn)訪問列表，也能根據(jù)特殊要求，設(shè)置高級擴(kuò)展訪問列表。比方說，在思科邊界路由器中進(jìn)行下面一系列配置操作，可以有效改善網(wǎng)絡(luò)邊界訪問安全。

上述代碼中的第一、二、三行內(nèi)容是專門過濾RFC1918私有地址的，第四行內(nèi)容是用來過濾環(huán)回地址的，第五行內(nèi)容是過濾不用的組播地址的，第六行內(nèi)容是過濾DHCP自定義地址的，第七行內(nèi)容是過濾全網(wǎng)絡(luò)地址的。

此外，通過訪問控制列表的配置，還能控制流出單位內(nèi)網(wǎng)的數(shù)據(jù)包地址，必須來自單位內(nèi)網(wǎng)。比方說，單位內(nèi)網(wǎng)使用了10.168.0.0這樣的網(wǎng)段地址，那通過下面的配置操作就能讓邊界路由器僅允許來自單位內(nèi)網(wǎng)的數(shù)據(jù)流出：

優(yōu)化邊界路由工作性能

一是暫停Http網(wǎng)絡(luò)服務(wù)。對于Cisco邊界路由器來說，關(guān)閉Http網(wǎng)絡(luò)服務(wù)操作很簡單，只要使用“No ip http server”命令即可。

二是停用IP Directed Broadcast服 務(wù)。IP Directed Broadcast服務(wù)被啟動運(yùn)行后，惡意用戶使用欺騙的源地址向內(nèi)網(wǎng)傳輸廣播幀時，邊界路由器會將接受到的數(shù)據(jù)包自動擴(kuò)展成MAC層的廣播幀，這可能會讓內(nèi)網(wǎng)上的很多主機(jī)響應(yīng)此廣播幀。

正常來說，大家只要通過“No ip source-route”命令，就能輕松關(guān)閉邊界路由器IP Directed Broadcast服務(wù)了。

三是停止使用SNMP服務(wù)。SNMP服務(wù)的開啟運(yùn)行會消耗內(nèi)存、耗盡堆棧、造成緩沖區(qū)溢出，這些現(xiàn)象顯然會影響邊界路由器的運(yùn)行效率。為此，關(guān)閉邊界路由器的SNMP服務(wù)，至少能在某種程度上改善邊界網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性。對于Cisco型號的邊界路由器來說，在關(guān)閉其已經(jīng)啟動運(yùn)行的SNMP服務(wù)時，只要在全局配置狀態(tài)下，執(zhí)行字符串命令“No Snmp-Server”即可。在SNMP服務(wù)非用不可的情況下，我們也能使用SNMP代理功能，借助訪問控制列表，攔截那些未經(jīng)授權(quán)的SNMP服務(wù)信息，只是該方法也會影響邊界網(wǎng)絡(luò)的傳輸性能。

四是小心使用Telent服務(wù)。該服務(wù)可以幫助管理員遠(yuǎn)程維護(hù)邊界路由器，有利于提高網(wǎng)絡(luò)管理效率，但是它的存在，會將密碼之類的隱私數(shù)據(jù)以明文方式傳輸出去，惡意用戶借助外力程序可以很方便地截取該服務(wù)對外傳輸?shù)臄?shù)據(jù)包，很明顯這會給邊界網(wǎng)絡(luò)的運(yùn)行帶來安全威脅。

實際上，大家完全可以使用SSH服務(wù)替代Telent服務(wù)，來對邊界網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理維護(hù)，畢竟前者可以加密待傳輸?shù)臄?shù)據(jù)，惡意用戶即使非法竊取了包含隱私信息的數(shù)據(jù)包，也無法輕易破解成功，因此，SSH服務(wù)服務(wù)在遠(yuǎn)程管理邊界路由器時會安全許多。