把好关口 安全部署企业网络边界路由器

作者: CBISMB编辑

责任编辑: 阚智

来源: 中小企业IT采购

时间: 2009-02-16 10:02

关键字: 安全 路由器

浏览: 0

点赞: 0

收藏: 0

边界路由器是连接内部局域网和外部Internet的关键路由。作为内外网络之间的桥梁,它的安全运行关系到整个局域网的命运。因为直接与Internet连接,边界路由器首当其冲是黑客攻击的重点。基于此,边界路由器理应成为网络管理者重点维护的对象。本文就以Cisco的路由器产品为例,和大家分享边界路由器的安全部署方案。

  1、安全部署从密码开始

  密码是路由器用来阻止对其进行非授权访问的主要手段,是路由器本身安全的一部分。对于边界路由器来说,安全可靠的密码策略更是必不可少的。

  (1).设置符合复杂性的特权模式进入密码

  首次登录路由器后就要为其设置复杂的密码,例如:“Router(config)#enable secret 55ctocio,.”,建议不要采用enable password进行设置。两者虽然功能相似,但是enable password采用的加密算法比较弱。同时,还要启用service password-encryption。例如:“Router(config)#service password-encryption”利用这条命令对存储在配置文件中的所有密码和类似的数据进行加密,以提高密码的安全性。(图1)

   

  (2).尽量不要远程访问路由器

  如果不需要对路由器进行远程维护和管理,建议不要开启远程访问。就算开启了路由器的远程访问功能,也要控制远程访问的次数。因为任何人登录到路由器都会在路由器上显示一些重要的信息,而这些信息能够对攻击者进行网络渗透提供帮助。另外还有一种情况:攻击者也许不会通过路由器对局域网实施攻击,但他会将你的路由器作为一个跳板对其他的目标实施攻击。这样,你的路由器被攻击者利用不说,而且会给你带来麻烦(嫁祸于人)。基于此,我们一定要控制路由器的远程访问。如果情况特殊需要远程访问路由器,也一定要设置足够强的密码。笔者建议,不要将远程访问密码和特权密码设置成一样。

  Router(config)#line vty 0 4

  Router(config-line)#login

  Router(config-line)#password ineing55ete

  (图2)

   
©本站发布的所有内容,包括但不限于文字、图片、音频、视频、图表、标志、标识、广告、商标、商号、域名、软件、程序等,除特别标明外,均来源于网络或用户投稿,版权归原作者或原出处所有。我们致力于保护原作者版权,若涉及版权问题,请及时联系我们进行处理。