路由器的安全简易配置

第一，做好路由器访问控制

企业需要严格控制可以访问路由器的网络管理员，任何一次维护都需要记录备案。同时，建议企业用户不要远程访问路由器。即使需要远程访问路由器，也要使用访问控制列表和高强度的密码控制。另外，对于CON端口的访问，也需要进行物理线路、连接属性、高级密码等手法进行控制。如果企业用户不需要使用AUX端口，则禁止这个端口，并采用权限分级策略。

另外，如果企业用户不需要远程访问，则禁止对VTY的访问。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码，控制连接的并发数目，采用访问列表严格控制访问的地址，采用AAA设置用户的访问控制等。

第二，设置路由器网络服务安全配置

用户可以禁止CDP（对Cisco路由器而言)，同时禁止其他的TCP、UDP Small服务。此外，为了尽可能获得安全性，企业网管也可以禁止Finger服务。当然，也有专家建议企业用户禁止HTTP服务。如果企业启用了HTTP服务则需要对其进行安全配置：设置用户名和密码，采用访问列表进行控制。

此外，对企业网安全有影响建议禁止的内容还包括：BOOTp服务，禁止从网络启动和自动从网络下载初始配置文件，禁止IP Source Routing，IP Directed Broadcast，IP Classless，禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。另外，如果用户不需要ARP-Proxy服务则同样禁止它。而对于SNMP协议服务，如果禁止，则必须删除一些SNMP服务的默认配置，或者利用访问列表来过滤。

第三，针对路由协议安全配置

企业用户需要首先禁止默认启用的ARP-Proxy，因为它容易引起路由表的混乱。接下来用户可以启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的，建议启用MD5认证。并设置一定强度密钥(key，相对的路由器必须有相同的Key)。对于RIP协议的认证，只有RIP-V2支持，RIP-1不支持。建议企业网管启用RIP-V2，并且采用MD5认证，因为普通认证同样是明文传输的。

也有专家建议用户启用passive-interface命令，以便禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口，启用此命令。但是，在RIP协议中，该命令是只是禁止转发路由信息，并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。

此外，用户可以启用访问列表过滤一些垃圾和恶意路由信息，控制网络的垃圾信息流。同时启用IP Unicast Reverse-Path Verification，它能够检查源IP地址的准确性，从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。

转载地址：http://www.cnw.cn/cnw07/security/TechApp/htm2007/20070313_20461.shtml

（编辑：ASP站长网）