探析路由器的安全配置

孟一飛

[摘 要] 當前，隨著網絡技術的不斷進步，不論企業還是個人都越來越離不開網絡，網絡安全也逐漸引起了人們的關注。然而，在由無數個節點和鏈路構建起來的紛繁復雜的網絡系統中，看似簡單的路由器卻是網絡系統中最為核心的節點，是能夠影響網絡安全的關鍵設備。因此，在網絡安全管理上，路由器越來越被人們所重視，研究路由器的安全配置就具有了重要的意義。

[關鍵詞] 路由器；安全；配置

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 11. 088

[中圖分類號] TP311 [文獻標識碼] A [文章編號] 1673 - 0194（2017）11- 0179- 02

1 路由器的概述

從廣義的角度而言，目前的路由器可以分為有線路由器和無線路由器兩大類。顧名思義，有線路由器就是借助物理連線建立連接的路由器，平時所說的路由器基本上都是有線路由器，無線路由器是隨著無線網絡應用的快速普及，在近幾年才出現的新產品。無線路由器的功能和有線路由器沒有很大區別，同樣是用來連接不同的網絡或Internet接入，不同的是無線路由器的連接不是通過有形的連線實現的，而是借助無形的電磁波實現的。

2 影響路由器安全的因素

由于路由器在網絡中所處的特殊地位，常常受到入侵者的竊聽、拒絕服務攻擊、非法訪問、植入病毒等惡意性的攻擊；入侵者還會通過利用所找到的操作系統、數據庫、網絡協議等上面的漏洞，對路由器進行攻擊，侵入網絡系統，發送大量的數據，消耗設備資源，導致網絡系統崩潰。

通常，路由器本身會啟動安全機制來保護自身的安全，但是僅憑這一點是微不足道的，管理員還需要分析以上兩方面因素形成的原因，采取相應的安全手段對路由器進行全方位的保護。

3 路由器的安全配置

3.1 使用大品牌廠商路由器，選擇功能、服務、質量過“硬”的產品

近年來，許多路由器品牌廠商為了使路由器能夠將合法信息安全、及時、完整地轉發到目的地，在路由器中研究開發增加安全模塊，將防火墻、防病毒、內容過濾等技術引入到路由器中，生產出了路由器與安全設備相結合的產品。這些添加了帶有安全模塊的路由器，與普通路由器相比較，它們能夠通過加密、認證等技術手段將數據傳送的安全性提高，同時與安全設備的有效結合也能夠提高路由器本身的安全性和所管理網絡的可用性。另外，路由器廠商會針對網絡上出現的新型病毒及路由器出現的漏洞等方面及時推出安全補丁，進行升級服務，這樣可以在提升安全性方面起到一定的作用。

3.2 對路由器口令進行加密保護，防止非法訪問

一般情況下，管理員應當在實際操作中使用一些認證機制來控制對路由器的訪問。管理員對路由器口令的選擇不能使用常用的英文單詞或容易猜測的組合等等容易被暴力破解的弱加密算法的口令保護，最好選擇盡量比較長并且包含有一定特殊字符的口令。管理員還可以使用Enable secret password命令將口令使用不可逆加密功能存儲，能為路由器提供更加安全的管理環境；使用Service password-encryption命令將所有的口令進行加密，能防止在顯示路由器配置時其他人看到口令。這些口令包括用戶名口令、認證密鑰口令、特權命令口令、控制臺和虛擬終端線路訪問口令等。

3.3 防止拒絕服務攻擊，關閉不必要的服務

拒絕服務攻擊是一種通過對網絡設備發送大量的、超過設備處理能力的數據，占用設備資源，導致設備不能提供服務，使用戶無法訪問所需信息的攻擊。管理員可以采取一些措施，減少其對路由器的攻擊，避免拒絕服務攻擊產生危險。

路由器上可用的虛擬終端端口是有限的，當所有的端口都被占用時其他用戶無法與路由器建立連接，這就為拒絕服務攻擊提供了目標。這時，入侵者會通過利用堵塞路由器上所有的虛擬終端端口的方式，使路由器拒絕對管理員及其他用戶服務。那么在發生這種情況之前，管理員就應在一個虛擬終端端口上配置限制性的access-class命令，限定可以訪問該端口的管理工作站。這樣，至少有一個路由器端口可以被訪問，以便在發現被攻擊時對路由器進行相應的操作。同時，還應該配置exec-timeout命令防止空閑的用戶無限制地占用端口，浪費資源。

Smurf 是一種新型的拒絕服務攻擊，它運用直接廣播的方式，利用偽造的源地址向直接廣播地址發送ICMP echo請求包，網絡上所有接收到該請求包的設備都將做出應答，向所偽造的源地址發送數據，擁有該源地址的設備將收到大量的數據，從而導致該設備的癱瘓。因此，管理員應當關閉廣播包的轉發設置，以免被作為Smurf 拒絕服務攻擊的反射板，在每個端口上配置 no ip directed-broadcast命令。

有些情況下，外部迅速激增的數據包會使路由器浪費大量的時間來處理接口中斷，而沒有時間處理其他事件，導致路由器處理性能下降。那么，管理員可以使用scheduler interval （較早路由器系統）或scheduler allocate < process-time>（新路由器系統）命令使路由器按照指定的時間間隔停止處理中斷，改為處理其他事務，以提高路由器的處理性能。

另外，路由器中運行著一些如基于UDP協議的Echo、Chargen、Discard和Daytime等很少能被使用的服務，這些服務主要用于路由器的檢測和調試，但是非法攻擊者可以利用這些服務，向路由器發送大量的數據進行攻擊，從而導致路由器癱瘓。那么，管理員可以使用諸如No service udp-small-servers命令關閉這些不必要的服務，提高路由器的安全性。

4 實施嚴格的安全管理

管理員完成對路由器的配置之后，還需要對其進行嚴格的監管，以防入侵者通過非法手段竄改路由器的配置。

管理員應當把路由器配置的備份數據妥善保存在指定的地點，以便日后對路由器進行更新配置出現問題或遭到攻擊被破壞時，能夠及時恢復到原配置。

另外，為了進一步實現安全、便捷的管理，管理員可以使用安全加密口令與路由器建立遠程連接，對路由器進行遠程配置，實現隨時的管理。

通過上述管理員對路由器進行的安全配置，為網絡系統建立起了第一道安全的大門，將大部分的非法入侵者拒之于門外，并且能夠為降低網絡系統內部實施的其他安全措施的壓力提供了一定的支撐，同時還為路由器自身的安全提供了保證，促進了其工作效率的進一步提高。因此，路由器的安全配置具有十分重要的意義。

主要參考文獻

[1]王海軍.路由器和交換機的安全技術研究[J].淮北職業技術學院學報，2011，10（3）.

[2]沙尼亞·阿不都吉里.現代網絡安全技術及其在校園網絡中的研究與應用[J].網絡安全技術與應用，2015（5）.

[3]于振海. 利用路由器加強網絡安全的研究與實現[J]. 山東理工大學學報：自然科學版，2016（5）.