管理邊界網絡技巧二則

引言：在管理邊界網絡的時候，我們時常會遇到形形色色、不如人意的事情。但是只要我們善于注重一些管理細項，完全可以避免網絡邊界問題所帶來的麻煩。下面且聽筆者細細道來。

提高邊界路由安全能力

為了保護好管理密碼，一是要定期調整密碼，建議密碼內容同時包含大小寫字母、阿拉伯數字以及特殊符號的密碼內容。

二是選擇復雜算法。比方說，使用“enable secret”命令設置思科邊界路由器后臺管理密碼，這種命令采用的加密算法比較強，用戶輸入的密碼內容以加密形式存在，不大容易被人破解。此外，為了保護邊界路由器配置文件的安全，建議大家同時使用“service passwordencryption”命令，加密保護邊界路由器配置文件。

三是對連接端口進行加密保護。直連Consol端口，在操作權限不足的情況下，也能有效控制邊界路由器。基于這一點，大家一定要為邊界路由器直連Consol連接端口設置保護密碼。比方說，在為思科邊界路由器設置直連Consol端口密碼時，只要在后臺系統全局模式下，依次使用“line consol 0”、“password xxxxxx” 命令，就能將保護密碼設置為“xxxxxx”了。

四是妥善保管密碼內容，主要就是定期修改，將密碼內容不要直接寫在邊界路由器外殼身上，或者其他特別明顯的位置。通過強制定期修改密碼的方法，能控制登錄密碼的有效時間，這樣即使登錄密碼被惡意用戶偷窺到，也只能在規定的時間段內才會生效。

其次控制好網絡訪問。建議大家合理配置其訪問控制列表既能依照實際情況，按需設置基本標準訪問列表，也能根據特殊要求，設置高級擴展訪問列表。比方說，在思科邊界路由器中進行下面一系列配置操作，可以有效改善網絡邊界訪問安全。

上述代碼中的第一、二、三行內容是專門過濾RFC1918私有地址的，第四行內容是用來過濾環回地址的，第五行內容是過濾不用的組播地址的，第六行內容是過濾DHCP自定義地址的，第七行內容是過濾全網絡地址的。

此外，通過訪問控制列表的配置，還能控制流出單位內網的數據包地址，必須來自單位內網。比方說，單位內網使用了10.168.0.0這樣的網段地址，那通過下面的配置操作就能讓邊界路由器僅允許來自單位內網的數據流出：

優化邊界路由工作性能

一是暫停Http網絡服務。對于Cisco邊界路由器來說，關閉Http網絡服務操作很簡單，只要使用“No ip http server”命令即可。

二是停用IP Directed Broadcast服 務。IP Directed Broadcast服務被啟動運行后，惡意用戶使用欺騙的源地址向內網傳輸廣播幀時，邊界路由器會將接受到的數據包自動擴展成MAC層的廣播幀，這可能會讓內網上的很多主機響應此廣播幀。

正常來說，大家只要通過“No ip source-route”命令，就能輕松關閉邊界路由器IP Directed Broadcast服務了。

三是停止使用SNMP服務。SNMP服務的開啟運行會消耗內存、耗盡堆棧、造成緩沖區溢出，這些現象顯然會影響邊界路由器的運行效率。為此，關閉邊界路由器的SNMP服務，至少能在某種程度上改善邊界網絡的運行穩定性。對于Cisco型號的邊界路由器來說，在關閉其已經啟動運行的SNMP服務時，只要在全局配置狀態下，執行字符串命令“No Snmp-Server”即可。在SNMP服務非用不可的情況下，我們也能使用SNMP代理功能，借助訪問控制列表，攔截那些未經授權的SNMP服務信息，只是該方法也會影響邊界網絡的傳輸性能。

四是小心使用Telent服務。該服務可以幫助管理員遠程維護邊界路由器，有利于提高網絡管理效率，但是它的存在，會將密碼之類的隱私數據以明文方式傳輸出去，惡意用戶借助外力程序可以很方便地截取該服務對外傳輸的數據包，很明顯這會給邊界網絡的運行帶來安全威脅。

實際上，大家完全可以使用SSH服務替代Telent服務，來對邊界網絡進行遠程管理維護，畢竟前者可以加密待傳輸的數據，惡意用戶即使非法竊取了包含隱私信息的數據包，也無法輕易破解成功，因此，SSH服務服務在遠程管理邊界路由器時會安全許多。