淺談路由器的安全配置

2019-11-05 00:44:45

字體：大中小

供稿：網(wǎng)友

　　隨著Internet的快速發(fā)展和政府、企業(yè)上網(wǎng)工程的日益推廣，越來越多的政府機關(guān)和企業(yè)在網(wǎng)絡(luò)上建立網(wǎng)站來進行對外宣傳，這樣，網(wǎng)絡(luò)上的安全問題就顯得日益突出。許多政府機關(guān)及企業(yè)都安裝了防火墻來保證網(wǎng)絡(luò)服務器的安全，卻往往忽視了站在最前沿的“衛(wèi)士”——路由器。在網(wǎng)絡(luò)上，一旦有人惡意進入你的路由器，將對你的網(wǎng)絡(luò)安全產(chǎn)生極大的威脅。
　　　　實際上，路由器可以看作是一臺具有中心處理器、內(nèi)存、操作系統(tǒng)的計算機，將地理上分散的網(wǎng)絡(luò)連接在一起，實現(xiàn)它們之間的網(wǎng)絡(luò)通信。所以，路由器配置的是否正確、安全會對網(wǎng)絡(luò)的通暢起著舉足輕重作用。在實際的工作中，我們接觸到比較多的是Cisco的路由器，下面就以Cisco路由器為例，看看路由器的配置。
　　
　　　　Cisco路由器中的操作系統(tǒng)叫做互連網(wǎng)絡(luò)操作系統(tǒng)（Internet Operating System），或簡稱為IOS，對Cisco路由器的配置可以通過手工使用連接到控制端口的終端或者利用Telnet會話等方式進行配置，常用的是利用Console口進行配置，將Cisco自帶的配置線和一臺計算機的COM口連接好，在Windows 95/98或Windows NT中的超級終端進行連接，步驟如下:
　　　　1、在超級終端中新建連接，在連接時使用下拉式菜單種選擇直連串口連接1（或者直連串口連接2），在COM口的屬性頁中按還原默認設(shè)置，將波特率設(shè)置為9600bps、數(shù)據(jù)位8位，奇偶校驗位無、停止位1，確認即可。如下圖：
　　

　　2、確認之后，進入超級終端的控制窗口，這時你就可以利用這個連接對路由器進行配置。假如你的路由器是第一次打開電源，路由器將會進入到初始化配置對話，這是可根據(jù)提示一步步地對路由器進行配置。配置時請注重你輸入的enable passWord和virtual terminal password，這兩個密碼將對你的路由器安全舉足輕重。enable password是你進入特權(quán)模式的口令，virtual terminal password是通過虛擬終端（Telnet訪問）時的密碼。
　　　　3、假如你的路由器已經(jīng)配置完畢，請在特權(quán)模式下執(zhí)行：(特權(quán)模式的提示符為“#”)
　　　　Router（config）>#sh run
　　　　你可能會看到有這么幾行：
　　　　line vty 0 4
　　　　password *****(*為你設(shè)置的密碼)
　　　　或
　　　　login local
　　　　這幾行配置的含義是：
　　　　第一行定義五個答應的Telnet訪問（編碼0-4），下一行表明進入到提示符前要輸入密碼*****或是以路由中設(shè)立的用戶名和密碼登錄。可以看出，利用路由器中的用戶名和密碼登錄將比直接利用密碼登錄安全。
　　
　　　　下面我大致寫一下在路由器中建立用戶，設(shè)置進入密碼和虛終端密碼的步驟：
　　　　Router>
　　　　//進入到特權(quán)模式下
　　　　Router >enable
　　　　Password:
　　　　//進入到全局模式下
　　　　Router #conf t
　　　　Enter configuration commands, one per line. End with CNTL/Z.
　　　　//給自己的路由器起一個名字
　　
　　　　Router (config)#hostname Myrouter
　　　　//將enable的密碼設(shè)置為ababab
　　　　Router (config)#enable password ababab
　　　　//在路由器中建立用戶名稱為aaa密碼為bbb
　　　　Myrouter (config)#username aaa password bbb
　　　　//配置Console口
　　　　Myrouter (config)#line con 0
　　　　//用路由器中的用戶名和密碼登錄
　　
　　　　Myrouter (config-line)#login local
　　
　　　　Myrouter (config-line)#flowcontrol hardware
　　
　　　　Myrouter (config-line)#end
　　
　　　　//配置遠程登錄虛終端0-4
　　
　　　　Myrouter (config)#line vty 0 4
　　
　　　　//用路由器中的用戶名和密碼登錄
　　
　　　　Myrouter (config-line)#login local
　　
　　　　Myrouter (config-line)#end
　　　　Myrouter (config)#end
　　
　　　　//將剛才的設(shè)置存盤
　　　　Myrouter >write
　　　　配置完成之后，你可以用Telnet遠程登錄你的路由器來測試一下，看登錄和進入特權(quán)模式是否需要密碼。
　　　　在剛才設(shè)置的過程中，要注重設(shè)置的enable密碼一定不要和你的路由器名稱一樣。經(jīng)過這樣的設(shè)置之后，就可以不讓網(wǎng)絡(luò)上的有惡意的人輕易進入到你的路由器中，既可以保證了你的路由器的安全，又可以保障你的網(wǎng)絡(luò)暢通。

（出處：http://www.vipcn.com）

上一篇：Cisco 路由器在線幫助漏洞泄漏敏感信息

下一篇：安全加密路由器淺析