路由器是网络中的神经中枢,广域网就是靠一个个路由器连接起来组成的,局域网中也已经普片的应用到了路由器,在很多企事业单位,已经用到路由器来接入网络进行数据通讯了,可以说,曾经神秘的路由器,现在已经飞入平常百姓家了.
随着路由器的增多,路由器的安全性也逐渐成为大家探讨的一个热门话题了,岩冰今天也讲一讲网络安全中路由器的安全配置吧.以下文章是本人在工作过程中所记录的学习笔记,今天整理出来,跟大家共享,也算是抛砖引玉吧.
1.配置访问控制列表:
使用访问控制列表的目的就是为了保护路由器的安全和优化网络的流量.访问列表的作用就是在数据包经过路由器某一个端口时,该数据包是否答应转发通过,必须先在访问控制列表里边查找,假如答应,则通过.所以,保护路由器的前提,还是先考虑配置访问控制列表吧.
访问列表有多种形式,最常用的有标准访问列表和扩展访问列表.
创建一个标准访问控制列表的基本配置语法:Access-list access-list-number{denypermit} source [source-wildcard]
注释:access-list-number是定义访问列表编号的一个值,范围从1--99.参数deny或permit指定了答应还是拒绝数据包.参数source是发送数据包的主机地址.source-wildcard则是发送数据包的主机的通配符.在实际应用中,假如数据包的源地址在访问列表中未能找到,或者是找到了未被答应转发,则该包将会被拒绝.为了能具体解释一下,下面是一个简单访问列表示例介绍:
1) access-list 3 permit 172.30.1.0 0.0.0.255 */指明一个列表号为3的访问控制列表,并答应172.30.1.0这个网段的数据通过.0.0.0.255是通配符.
2) access-list 3 permit 10.1.1.0 0.0.15.255 */答应所有源地址为从10.1.0.0到10.1.15.255的数据包通过应用了该访问列表的路由器接口.
3) access-list 3 deny 172.31.1.0 0.0.0.255 */拒绝源IP地址为172.31.1.0到172.31.1.255的数据包通过该访问列表.
配置了访问列表后,就要启用访问控制列表,我们可以在接口配置模式下使用access-group或ip access-class命令来指定访问列表应用于某个接口.使用要害字in(out)来定义该接口是出站数据包还是入站数据包.
示例:ip access-group 3 in */定义该端口入站数据包必须按照访问列表3上的原则.
由于标准访问控制列表对使用的端口不进行区别,所以,引入了扩展访问控制列表(列表号从100--199).扩展访问列表能够对数据包的源地址,目的地址和端口等项目进行检查,这其中,任何一个项目都可以导致某个数据包不被答应经过路由器接口.简单的配置示例:
1) ip access-list 101 permit tcp any host 10.1.1.2 established log
2) ip access-list 101 permit tcp any host 172.30.1.3 eq www log
3) ip access-list 101 permit tcp any host 172.30.1.4 eq FTP log
4) ip access-list 101 permit tcp any host 172.30.1.4 log
注释:
第一行答应通过TCP协议访问主机10.1.1.2,假如没个连接已经在主机10.1.1.2和某个要访问的远程主机之间建立,则该行不会答应任何数据包通过路由器接口,除非回话是从内部企业网内部发起的.第二行答应任何连接到主机172.30.1.3来请求www服务,而所有其他类型的连接将被拒绝,这是因为在访问列表自动默认的在列表尾部,有一个deny any any语句来限制其他类型连接.第三行是拒绝任何FTP连接来访问172.30.1.4主机.第四行是答应所有类型的访问连接到172.30.1.4主机.
2.保护路由器的密码
1)禁用enable passWord命令,改密码加密机制已经很古老,存在极大安全漏洞,必须禁用,做法是:no enable password
2)利用enable secret命令设置密码,该加密机制是IOS采用了MD5散列算法进行加密,具体语法是:enable secret[level level] {passwordencryption-type encrypted-password}
推荐阅读
- 蝎子是怎么进入室内的
- 华为手机的放大器在哪个设置里
- 悦动圈添加健身计划的图文讲解
- 我的lol驾照怎么弄的?我的lol驾照生成方法
- 洋葱病害的防治
- 中华民族的立身之本
- 萤火虫给科学家怎样的启示 萤火虫给了科学家什么提示
- 路由器的安全与可靠的问题
- 社保卡的银行卡号可以更换吗
- 吴国在现在的什么地方