做足邊界路由的安全

　　在校園網中，邊界路由器是連接外網的要害設備，

　　不論什么原因出現死機、拒絕服務或是運行效率急劇下降，其結果都將是災難性的，

　　它在整個校園網的安全治理中擔當著重要角色。

　　邊界路由器（Router）是校園網中最為重要的設備之一，扮演著轉發數據包“驛站”的角色，是網絡間實現互連的橋梁。因此，如何利用邊界路由器的安全特性是校園網安全治理須考慮的重要因素。

　　路由器的自身安全

　　由于邊界路由器處在網絡的最前沿，同時也是惡意攻擊者的最主要的目標之一，因此，邊界路由器自身的安全對網絡通暢起著舉足輕重的作用。

　　邊界路由器通常都提供很多的服務，如Finger、Telnet等，但是這些服務中的一些能夠被攻擊者利用，所以，最好禁止所有不需要的服務，對必需的服務進行安全配置。例如：Cisco路由器提供了一些諸如echo、chargen和discard等基于TCP和UDP協議的小服務。這些服務很少被使用，反過來卻輕易被攻擊者利用來越過包過濾機制。如echo服務，就可以被攻擊者利用它發送數據包，似乎這些數據包來自路由器本身。所以最好禁止這些服務，可以利用no service tcp-small-servers和no service udp-small-servers命令來實現。

　　Finger服務可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險的，但會影響路由器正確時間，導致日志和其他任務出錯。CDP可能被攻擊者利用獲得路由器的版本等信息，從而進行攻擊。所以對于上面的幾種服務，假如沒有十分必要的需求，最好禁止它們。可以用no service finger、no ntp enabel、no cdp run（或no cdp enable）實現。

　　對進出網絡數據流控制

　　拿Cisco的邊界路由器來說，它使用ACL（訪問控制列表）提供基本的數據流過濾，可以通過配置訪問列表，實現對通過邊界路由器進行路由的所有網絡協議進行過濾。因此可以通過過濾自己內部網絡地址、回環地址(127.0.0.0/8)、RFC1918私有地址、DHCP自定義地址(169.254.0.0/16)、科學文檔作者測試用地址(192.0.2.0/24)、不用的組播地址(224.0.0.0/4)、Sun公司古老的測試地址(20.20.20.0/24；204.152.64.0/23)等辦法實現對ip欺騙的簡單防護。同時，只答應有效的源地址包離開網絡。這有助于防止IP地址欺騙，減小黑客利用用戶系統攻擊另一站點的可能性。

　　具有黑客攻擊行為和高度自動化特點的蠕蟲病毒正在迅速增加，由蠕蟲病毒發起的針對網絡端口和網絡服務的攻擊占據網絡攻擊總量的絕大部分，已經成為威脅網絡安全的頭號大敵。

　　蠕蟲病毒一般總是使用固定的端口進行掃描、監聽、控制和傳播。比如：Blaster蠕蟲利用端口4444、69、135、139、445和593，Slammer 蠕蟲利用1434端口傳播，Dvldr32 蠕蟲利用5800、5900端口進行遠程控制等。因此，可以利用ACL過濾掉到這些端口的數據流，從而減小對路由器性能的影響和防止對網絡其他主機的危害。

　　充分利用附加功能

　　就目前大多數邊界路由器來說，它們自身都通過軟件提供了豐富的特性，校園網用戶能根據特定的需要配置簡單或精致的防火墻。

　　其中，NAT可以用來對防火墻外部世界隱藏內IP地址。NAT是未使用為注冊（非全球唯一）的IP地址的內部網絡設計的，在防火墻外將這些未注冊的地址轉化為合法地址。可以配置NAT，以便對外只為內部網絡宣傳一個地址，這樣就提高了安全性，因為有效地隱藏了整個內部網絡。

　　特征自動記錄系統記錄了出錯信息和其他事件到控制臺終端的信息。用戶也可以將這些消息改發到其他目的地，例如虛擬終端、內部緩存區或系統記錄服務器，還可以規定要記錄事件的嚴重性，并將記錄的輸出配置為帶時間郵戳，記錄的輸出可以用于實時調試和治理，以及跟蹤整個校園網中潛在的安全缺口或者其他非標準活動。

 
　　邊緣路由器在網絡中的分布示意

　　主流邊緣路由器產品鏈接

　　Cisco2600

　　Juniper J-系列邊界路由器

　　華為3Com

　　Quidway AR 18-1X系列路由器

　　銳捷網絡 STAR-R26系列路由器

　　清華紫光比威BitEngine2630/2631

　　神州數碼LR-2501A

　　企業級VoIP

　　VoIP作為市場上新PBX的代言人，具有分布式PBX組織的靈活性。就把握、安裝和操作三個步驟而言，IP-PBX的開銷要遠低于傳統的PBX：輕輕松松就可將PBX置入每一個IP網絡中，并從一個位置進行統一的治理；重新配置呼叫中心是常有的事，在這里也將變得非常簡單；假如網絡中存在基于包而不是基于TDM的語音流量，那么還能進一步節省帶寬資源。據統計分析，IP-PBX在未來的幾年中將逐漸占據市場的主導地位。

　　這種IP架構下的語音非常適用于基于WAN的企業：他不僅降低了長途話費，也可減少企業對電信公司路由呼叫的過分依靠，假如再利用G.711等壓縮技術，那么使用VoIP而不是模擬主干線路就能增加呼叫的帶寬。IP語音對SIP的吸收也頗引人注目，SIP使用了一種稱為點對點的對等策略（Peer To Peer），使端點具有啟動呼叫等智能特性，遺憾的是目前幾乎沒有廠商提供對SIP端點的第三方支持，倒是SIP最早的支持者之一，Microsoft公布將在2005年發布的Istanbul desktop OS新特性中包括SIP，并支持PBX系統，只是目前尚不清楚具體的時間表。 (張志剛)

 
　　PBX下線統計與分析