配置Cisco路由器的安全考慮

2019-11-05 00:45:07

字體：大中小

來源：轉載

供稿：網友

　　　　如何配置路由器是事關網絡安全的核心問題，在配置時，不僅要滿足其互聯互通的基本功能，更重要的是要融入一些基于網絡安全性的考慮，真正使其成為維護網絡安全的一道屏障。下面就將本人學習過程中一些基于安全性的考慮與大家共勉。
　　　　Cisco系列路由器一般有Consle Aux 和Ethernet口可登錄到路由器對其進行配置，這為網絡治理員對其進行治理提供了很大的方便，同時也給不速之客提供了可乘之機。為了拒不速之客于門外，應該通過給相應的端口加上口令實施最基本的安全控制。具體配置如下：
　　　　Cisco3640(config)#line vty 0 4
　　　　Cisco3640(configline)#login
　　　　Cisco3640(configline)#passWord xxxxxxx
　　　　Cisco3640(config)#line aux 0
　　　　Cisco3640(configline)#login
　　　　Cisco3640(configline)#password xxxxxxx
　　　　Cisco3640(config)#line con 0
　　　　Cisco3640(configline)#password xxxxxxx
　　　　其次，對超級用戶密碼的設置成為拒不速之客于門外的第二道屏障，可以防止配置被修改，具體配置如下：
　　　　Cisco3640#conf term
　　　　Cisco3640(config)#enable secret xxxxxxx
　　　　有了這些配置，您起碼可以禁閉門戶，有效地防止不速之客的暗訪了。當然，這只是眾多安全措施中最基本的一步，要想尋求全方位的安全防護還應另找門路。有的放矢選擇限制。
　　　　若要在大量進進出出的信息中分清 "敵我"，還要在"濾包"的環節上做文章。所謂的包過濾，簡而言之，就是拒絕含有非法ip的源或目的地址通過路由器的Serial或其他端口進行某些非法訪問，同時讓合法的信息包無條件進出。要實現這一步，Cisco系列路由器所支持的訪問列表功能可使你得心應手。
　　　　首先舉例來說明基本訪問列表對源地址的控制，網絡拓撲結構如下圖所示。
　　　

　　
　　Cisco3640#config term
　　　　Cisco3640(config)#accesslist
　　　　1permit ip 10.10.11.2
　　　　Cisco3640(config)#access
　　　　list 2 permit ip 9.123.45.2
　　　　Cisco3640(config)#access
　　　　list 3 permit ip 9.123.46.2
　　　　有了具體的訪問列表，還必須作用于相應的物理端口才會起作用。即：
　　　　Cisco3640(config)#int e0/0
　　　　Cisco3640(configif)#ip
　　　　accessgroup 1 in
　　　　Cisco3640(config)#int s0
　　　　Cisco3640(configif)#ip
　　　　accessgroup 2 in
　　　　Cisco3640(config)#int s1
　　　　Cisco3640(configif)#ip
　　　　accessgroup 3 in
　　　　這樣一來，對于一號路由器的以太網口來說，只有來自源地址為10.10.11.2的信息包（即PC1）才可以進入此端口，通過路由器與外部進行通信，而來自其他地址的信息包均被拒絕進入。有了這一級防護，既切斷了"黑客"的后路，也明確了合法者的權限。很明顯，PC1局域網段內除PC1外的其他PC機和服務器對于PC2 和PC3來說等同于不存在，他們是無法"看"到的。這樣就從另一側面增強了系統的安全性。
　　　　下面再看看擴展訪問列表的相關應用。
　　　　路由器所支持的擴展訪問列表可以對目的地址、源地址和應用程序端口等諸多因素進行指定和限制，有針對性的對不安全因素進行控制，全方位提高網絡的安全性。如下例：
　　　　Cisco3640#config term
　　　　Cisco3640(config)#access
　　　　list 110 permit ip 10.10.11.2 9.123.45.2
　　　　Cisco3640(config)#access
　　　　list 110 permit udp gt
　　　　1023 10.10.11.2 9.123.46.2 eq 53
　　　　Cisco3640(config)#access
　　　　list 110 permit icmp any any eq echoreply
　　　　Cisco3640(config)#access 111
　　　　deny tcp any 10.10.11.2 eq telnet
　　　　Cisco3640(config)#int e0/0
　　　　Cisco3640(configif)#ip accessgroup 110 in
　　　　Cisco3640(config)#int s0/0
　　　　Cisco3640(configif)#ip accessgroup 111 in
　　　　Cisco3640(configif)#exit
　　　　Cisco3640(config)#exit
　　　　Cisco3640#
　　　　第一條配置只答應來自10.10.11.2,去往 9.123.45.2的IP包通過相應端口。第二條配置答應使用客戶源端口方式的主機發往 9.123.46.2 地址且目的端口為 53的UDP報文通過。第三條配置答應作為Ping命令回應請求的應答報文通過相應端口，而不限制源和目的地址。第四條配置將禁止任何到PC1的遠程登錄。將這樣的訪問列表作用于相應端口，提高了系統的安全性。但在使用訪問列表的時候應該注重以下幾點。每一個訪問列表的最后都隱含著"Deny all"語句，這就意味著，如不做非凡考慮，除"Permit"條件答應的部分外，其他地址都被拒絕，這將使某些合法者也被拒絕。其次，除非使用命名訪問列表，在對列表進行修改時，必須將原有列表刪除后重新建立，否則將毫無意義。最后，一定要注重列表中各表項的順序，因為訪問列表采用順序匹配執行的原則，一旦相關項得到匹配，其后的有關項將不再執行，致使訪問列表不能完全生效。

上一篇：遭到拒絕服務攻擊的路由器的解決辦法

下一篇：基于路由器的網絡診斷