路由器基本原理与安全设置技巧(3)

作者: 佚名 出处:网侠2007　2008-05-05 16:54　   砖    好    评论  条 　进入论坛

阅读提示：BT是近年来比较热门的基于P2P技术的分布式数据共享与传播软件，不同的人对这类应用有不同的看法。

路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域，这些管理区域称为自治域，自治域区号实行全网统一管理。这样，路由协议就有域内协议和域间协议之分。域内路由协议，如OSPF、IS-IS，在路由器间交换管理域内代表网络拓扑结构的链路状态，根据链路状态推导出路由表。域间路由协议相邻节点交换数据，不能使用多播方式，只能采用指定的点到点连接。

路由器结构体系

路由器的控制平面，运行在通用CPU系统中，多年来一直没有多少变化。在高可用性设计中，可以采用双主控进行主从式备份，来保证控制平面的可靠性。路由器的数据通道，为适应不同的线路速度，不同的系统容量，采用了不同的实现技术。 路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言，可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现数据转发，根据使用CPU的数目，进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发，根据使用网络处理器的数目及网络处理器在设备中的位置，进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。

路由器安全设置

对于黑客来说，利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期，误导信息流量，使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己，但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

堵住安全漏洞

限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露，这就使得黑客抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。

避免身份危机

黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令。用户应该启用路由器上的口令加密功能，这样即使黑客能够浏览系统的配置文件，他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上，用户可以配置一些协议，如远程验证拨入用户服务，这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证，以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分，后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳（SSH）或IPSec内传送安全证书。

禁用不必要服务

拥有众多路由服务是件好事，但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议（NTP）的服务，对照有效准确的时间源以确保网络上的设备时针同步。不过，确保网络设备时钟同步的最佳方式不是通过路由器，而是在防火墙保护的非军事区（DMZ）的网络区段放一台NTP服务器，将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上，用户很少需要运行其他服务，如SNMP和DHCP。只有绝对必要的时候才使用这些服务。

限制逻辑访问

限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法，但如果无法避免Telnet，不妨使用终端访问控制，以限制只能访问可信主机。因此，用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。

共4页: 上一页 [1] [2] 3 [4] 下一页

【内容导航】  第 1 页：基于类的路由策略  第 2 页：尼姆达病毒  第 3 页：路由器结构体系  第 4 页：限制逻辑访问