探析路由器的安全配置

[摘 要] 当前，随着网络技术的不断进步，不论企业还是个人都越来越离不开网络，网络安全也逐渐引起了人们的关注。然而，在由无数个节点和链路构建起来的纷繁复杂的网络系统中，看似简单的路由器却是网络系统中最为核心的节点，是能够影响网络安全的关键设备。因此，在网络安全管理上，路由器越来越被人们所重视，研究路由器的安全配置就具有了重要的意义。

[关键词] 路由器；安全；配置

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 11. 088

[中图分类号] TP311 [文献标识码] A [文章编号] 1673 - 0194（2017）11- 0179- 02

1 路由器的概述

从广义的角度而言，目前的路由器可以分为有线路由器和无线路由器两大类。顾名思义，有线路由器就是借助物理连线建立连接的路由器，平时所说的路由器基本上都是有线路由器，无线路由器是随着无线网络应用的快速普及，在近几年才出现的新产品。无线路由器的功能和有线路由器没有很大区别，同样是用来连接不同的网络或Internet接入，不同的是无线路由器的连接不是通过有形的连线实现的，而是借助无形的电磁波实现的。

2 影响路由器安全的因素

由于路由器在网络中所处的特殊地位，常常受到入侵者的窃听、拒绝服务攻击、非法访问、植入病毒等恶意性的攻击；入侵者还会通过利用所找到的操作系统、数据库、网络协议等上面的漏洞，对路由器进行攻击，侵入网络系统，发送大量的数据，消耗设备资源，导致网络系统崩溃。

通常，路由器本身会启动安全机制来保护自身的安全，但是仅凭这一点是微不足道的，管理员还需要分析以上两方面因素形成的原因，采取相应的安全手段对路由器进行全方位的保护。

3 路由器的安全配置

3.1 使用大品牌厂商路由器，选择功能、服务、质量过“硬”的产品

近年来，许多路由器品牌厂商为了使路由器能够将合法信息安全、及时、完整地转发到目的地，在路由器中研究开发增加安全模块，将防火墙、防病毒、内容过滤等技术引入到路由器中，生产出了路由器与安全设备相结合的产品。这些添加了带有安全模块的路由器，与普通路由器相比较，它们能够通过加密、认证等技术手段将数据传送的安全性提高，同时与安全设备的有效结合也能够提高路由器本身的安全性和所管理网络的可用性。另外，路由器厂商会针对网络上出现的新型病毒及路由器出现的漏洞等方面及时推出安全补丁，进行升级服务，这样可以在提升安全性方面起到一定的作用。

3.2 对路由器口令进行加密保护，防止非法访问

一般情况下，管理员应当在实际操作中使用一些认证机制来控制对路由器的访问。管理员对路由器口令的选择不能使用常用的英文单词或容易猜测的组合等等容易被暴力破解的弱加密算法的口令保护，最好选择尽量比较长并且包含有一定特殊字符的口令。管理员还可以使用Enable secret password命令将口令使用不可逆加密功能存储，能为路由器提供更加安全的管理环境；使用Service password-encryption命令将所有的口令进行加密，能防止在显示路由器配置时其他人看到口令。这些口令包括用户名口令、认证密钥口令、特权命令口令、控制台和虚拟终端线路访问口令等。

3.3 防止拒绝服务攻击，关闭不必要的服务

拒绝服务攻击是一种通过对网络设备发送大量的、超过设备处理能力的数据，占用设备资源，导致设备不能提供服务，使用户无法访问所需信息的攻击。管理员可以采取一些措施，减少其对路由器的攻击，避免拒绝服务攻击产生危险。

路由器上可用的虚拟终端端口是有限的，当所有的端口都被占用时其他用户无法与路由器建立连接，这就为拒绝服务攻击提供了目标。这时，入侵者会通过利用堵塞路由器上所有的虚拟终端端口的方式，使路由器拒绝对管理员及其他用户服务。那么在发生这种情况之前，管理员就应在一个虚拟终端端口上配置限制性的access-class命令，限定可以访问该端口的管理工作站。这样，至少有一个路由器端口可以被访问，以便在发现被攻击时对路由器进行相应的操作。同时，还应该配置exec-timeout命令防止空闲的用户无限制地占用端口，浪费资源。

Smurf 是一种新型的拒绝服务攻击，它运用直接广播的方式，利用伪造的源地址向直接广播地址发送ICMP echo请求包，网络上所有接收到该请求包的设备都将做出应答，向所伪造的源地址发送数据，拥有该源地址的设备将收到大量的数据，从而导致该设备的瘫痪。因此，管理员应当P闭广播包的转发设置，以免被作为Smurf 拒绝服务攻击的反射板，在每个端口上配置 no ip directed-broadcast命令。

有些情况下，外部迅速激增的数据包会使路由器浪费大量的时间来处理接口中断，而没有时间处理其他事件，导致路由器处理性能下降。那么，管理员可以使用scheduler interval （较早路由器系统）或scheduler allocate < process-time>（新路由器系统）命令使路由器按照指定的时间间隔停止处理中断，改为处理其他事务，以提高路由器的处理性能。

另外，路由器中运行着一些如基于UDP协议的Echo、Chargen、Discard和Daytime等很少能被使用的服务，这些服务主要用于路由器的检测和调试，但是非法攻击者可以利用这些服务，向路由器发送大量的数据进行攻击，从而导致路由器瘫痪。那么，管理员可以使用诸如No service udp-small-servers命令关闭这些不必要的服务，提高路由器的安全性。

4 实施严格的安全管理

管理员完成对路由器的配置之后，还需要对其进行严格的监管，以防入侵者通过非法手段窜改路由器的配置。

管理员应当把路由器配置的备份数据妥善保存在指定的地点，以便日后对路由器进行更新配置出现问题或遭到攻击被破坏时，能够及时恢复到原配置。

另外，为了进一步实现安全、便捷的管理，管理员可以使用安全加密口令与路由器建立远程连接，对路由器进行远程配置，实现随时的管理。

通过上述管理员对路由器进行的安全配置，为网络系统建立起了第一道安全的大门，将大部分的非法入侵者拒之于门外，并且能够为降低网络系统内部实施的其他安全措施的压力提供了一定的支撑，同时还为路由器自身的安全提供了保证，促进了其工作效率的进一步提高。因此，路由器的安全配置具有十分重要的意义。

主要参考文献

[1]王海军.路由器和交换机的安全技术研究[J].淮北职业技术学院学报，2011，10（3）.

[2]沙尼亚・阿不都吉里.现代网络安全技术及其在校园网络中的研究与应用[J].网络安全技术与应用，2015（5）.

[3]于振海. 利用路由器加强网络安全的研究与实现[J]. 山东理工大学学报：自然科学版，2016（5）.