如何管理好边界路由
一、严格规范使用密码
1、为边界路由器设置复杂密码
在设置密码内容时,要做到五个不能:
第一、不能使用字符位数不多的密码,密码位数低于6位时,其组合结果十分有限,黑客工具能很快将其破解。
第二、不能使用与登录账号关联的密码,主要是指登录账号与密码相同。以登录账号的几个字符为密码,将登录账号加前后缀或颠倒后为密码这几种情况。
第三、不能以英文单词作为登录密码,因为总共20多万个英文单词对于专业破解工具来说,几分钟就能成功破译。
第四、不能使用连续相同字符的密码。
第五、不能将网络管理员个人信息作为密码。
2、为Consol端口设置复杂密码
3、为远程访问设特权密码
二、禁用无关服务
在可用不可用的场合下,一定要遵循安全为先的原则,将那些无关紧要的服务全部禁用掉,将边界路由器可能面临的安全威胁降到最低。
1、禁用默认的HTTP管理服务
例如,no ip httpserver 或 使用ip http access-class 命令指定能够访问的地址,并且为管理员设置好登录账号和密码,同时启用路由器的IP验证机制,确保非法用户无法通过该服务对设备进行恶意攻击。
2、禁用IP直接广播服务
IP直接广播服务虽然可能提高边界路由器对各种应用请求的处理能力,但是容易被恶意用户利用。例如,恶意用户通过伪造的虚假源地址向本地网络广播地址发送一个处理请求,边界路由器会被迫强制进行响应,倘若这种现象频繁发生,那么边界路由器的系统资源将会被过度消耗,那么本地网络性能将会受到严重影响。所以,没有特殊情况时,安全起见,关闭IP直接广播服务是很有必要的。
执行命令是no ip source-route
3、关闭常用的SNMP服务
SNMP服务也能方便网络管理员管理维护边界路由器,不过该服务存在明显的安全漏洞,这些漏洞能造成拒绝服务、服务中断,还有一些情况下能够允许恶意用户轻松获取边界路由器的非法访问权限。
执行命令是no snmp-server
(如果真的需要用到SNMP,建议使用SNMP V2服务,因为它基于MD5数字认证方式,在一定程度上能保证使用安全。)
除了上述主要服务外,类似ICMP Ping 请求、IP源路由等服务,都应该封锁或关闭,谨防恶意用户通过边界路由器的这些服务对本地网络进行恶意入侵。
三、建立严格过滤规则
在边界路由器中,善于建立合理的过滤规则可以对本地网络的安全起到非常不错的保护作用。这是因为一些过滤规则能封锁本地网络中被木马或者嗅探常用的端口和本地用户没有使用的端口,进而提高本地网络的安全防范能力。
四、学会分析日志记录
注:以此类推,其他角色的服务器、路由器、交换机之类也是相对如此。