Cisco路由器的安全配置( 四 )


2.;路由器本身保护:
路由器虽然能保护网络中其他部分避免过载,但是本身也需要保护不受到攻击 。应有的安全配置有:
a.;采用CEF交换模式而不是传统的路由表Cache方式,因为采用CEF方式,对于出现的新目的地不需要构筑路由Cache入口 。所以这种方式对于SYN攻击能够更好的防止(因为SYN攻击用的是随机的源地址)
b.;使用scheduler;interval;或scheduler;allocate 。因为当大量的数据包要路由器快速转发情况下,可能路由器花费大量的时间处理网络接口的中断,导致其他的任务无法正常工作 。为了避免这种情况,可以使用scheduler;interval或scheduler;allocate命令路由器在规定的时间间隔内停止处理中断去处理其他事件 。这种方式的副作用很小,不会影响网络的正常传输 。
c.;设定缺省路由到空设备(ip;route;0.0.0.0;0.0.0.0;null;0;255):
这个设置可以很好抛弃掉不可达的目的地值得数据包,增加路由器的性能 。
七.服务治理
路由器通常都提供很多的服务如Finger、Telnet等,但是这些服务中一些能够被攻击者利用,所以最好禁止所有不需要的服务 。
1.Cisco路由器提供一些基于TCP和UDP协议的小服务如:echo、chargen和discard 。这些服务很少被使用,而且轻易被攻击者利用来越过包过滤机制 。如echo服务,就可以被攻击者利用它发送数据包,似乎这些数据包来自路由器本身 。所以最好禁止这些服务,可以利用no;service;tcp-small-servers;和;no;service;udp-small-servers命令来实现 。
2.Finger、NTP、CDP:
Finger服务可能被攻击者利用查找用户和口令攻击 。NTP不是十分危险的,但是假如没有一个很好的认证,则会影响路由器正确时间,导致日志和其他任务出错 。CDP可能被攻击者利用获得路由器的版本等信息,从而进行攻击 。所以对于上面的几种服务假如没有十分必要的需求,最好禁止他们 。可以用no;service;finger、no;ntp;enabel、no;cdp;running(或no;cdp;enable;)实现 。
通过采用和遵循上面的配置就可以实现一个路由器的基本的安全,但是这对于一个严格要求的安全环境是不够的,因为还有很多的攻击无法从路由器上过滤,且对于来自内部网络的攻击,路由器是无能力进行保证的 。但是通过一个路由器的安全配置,能够为网络的安全建立一个外部的屏障,减轻了内部防火墙的负担,并且保证了路由器本身的安全 。所以路由器的安全配置还是十分重要

推荐阅读