第十一章 淺談路由器的安全設置

路由器是網絡係統的主要設備之一。它的主要功能就是尋址和路由。提起網絡安全，我們想到的就是防火牆和防病毒，其實許多網絡癱瘓都與路由器有關,路由器作為互聯網絡的中樞，也是網絡安全的前沿關口。本文以Cisco路由器為例淺談路由器安全方麵的設置。

一、設置密碼

首先，路由器一般有Consle、Aux和Ethernet口可以登錄到路由器對它進行配置，這為網絡管理員對它進行管理提供了很大的方便，同時也給不速之客提供了可乘之機。為此，首先我們應該給相應的端口加上密碼。要注意密碼的長度以及數字、字母、符號是否相混合，以防止黑客利用口令或默認口令進行攻擊。具體配置如下：

Router(config)#linevty04

Router(config-line)#login

Router(config-line)#passwordxxxxxxx

Router(config)-#lineaux0

Router(config-line)#login

Router(config-line)#passwordxxxxxxx

Router(config)#linecon0

Router(config-line)#passwordxxxxxxx

其次，對超級用戶密碼的設置應防止配置被修改，一般不要用enablepassword命令，該命令存在極大的安全漏洞。我們可以利用enablesecret命令其加密機製是IOS，采用了MD5散列算法進行加密，具體配置如下：

Router#confterm

Router(config)#enablesecretxxxxxxx

再次，要注意路由器的物理安全，不要讓管理員以外的其他人隨便接近路由器。如果攻擊者物理接觸路由器後，斷電重啟，實施"密碼修複流程"，進而登錄路由器，就可以完全控製路由器。

二、屏蔽HTTP服務

Telnet為管理員提供了一個遠程調試路由器的工具，但必須限製登錄訪問路由器的主機或網段。可通過訪問列表的方式來設置，以保證特定主機或網段對VTY（Telnet）端口的訪問控製。其配置如下，建立一個標準的訪問控製列表（編號從1到99任意選擇）

access-list99permit172.16.25.5

該訪問列表僅允許以上IP地址的主機對路由器進行Telnet訪問。注意：創建該列表。必須指定到路由器端口某個端口上，具體指定方法如下

linevtyE04

access-class99in

以上配置是入站到E0端口的Telnet示例，出站配置采用Out，為了保護路由器的安全設置，也可以限製其Telnet訪問的權限。另外，也可以通過訪問時間來限製所有端口的登錄訪問情況，在超時的情況下，將自動斷開。

現在許多Cisco設備，都允許使用Web界麵來進行控製了，這樣可以為初學者提供方便的管理，但是在方便的背後，卻隱藏了很大的危機（使用"iphttpserver"命令可以打開HTTP服務，使用"noiphttpserver"命令可以關閉HTTP服務）。如果必須使用HTTP服務來管理路由器，為安全考慮最好是配合訪問控製列表和AAA認證來做。利用相應訪問控製列表"iphttpaccess-class"命令，嚴格過濾允許的IP地址。建議沒有特殊需要，就關閉HTTP服務。