路由器和交換機(jī)在當(dāng)今企業(yè)網(wǎng)絡(luò)組建中，已是必不可少的組成部分，作為網(wǎng)絡(luò)中的最主要設(shè)備之一，其安全配置和優(yōu)化顯得十分重要。主要從以下幾個(gè)方面對(duì)其進(jìn)行安全管理。

控制通過交換機(jī)或路由器入侵

控制對(duì)交換機(jī)或路由器的入侵

控制交換機(jī)或路由器的管理員訪問權(quán)限

路由器和交換機(jī)的物理防護(hù)

1.1路由器的安全管理

從嚴(yán)格的意義上講，路由器本身就是一臺(tái)具備特殊使命的電腦，通常來說，攻擊者攻擊路由器的手法與襲擊網(wǎng)上其他計(jì)算機(jī)的手法大同小異。

我們可以通過下列五種方法配置路由器。

（1）通過console口接終端或運(yùn)行終端仿真軟件的計(jì)算機(jī)。

（2）通過aux可連接modem，通過電話線與遠(yuǎn)方的終端或運(yùn)行終端仿真軟件的計(jì)算機(jī)相連。

（3）通過網(wǎng)絡(luò)中的TFTP服務(wù)器。

（4）通過Telnet程序。

（5）通過網(wǎng)絡(luò)中的snmp網(wǎng)管工作站。

通過以上方法可以方便的配置路由器，但同時(shí)也留下了安全隱患，一般來講，針對(duì)路由器的攻擊主要分為以上兩種類型。

(1)通過某種手段或路徑獲取管理權(quán)限，直接侵入到系統(tǒng)的內(nèi)部。

(2)采用遠(yuǎn)程攻擊的辦法，造成路由器崩潰死機(jī)或是運(yùn)行效率顯著下降。

相對(duì)而言，前者的難度要大一些。

所以路由器的安全問題可以從下面著手解決:

1.阻止非必要的數(shù)據(jù)流

從因特網(wǎng)進(jìn)入路由器的傳入數(shù)據(jù)流來自未知的不受信任的用戶，這些用戶要求訪問企業(yè)內(nèi)部的web服務(wù)器，可以使用訪問控制列表acl讓這些用戶只能訪問一組特定的ip地址和端口號(hào)。并限制這些用戶無法訪問其他端口號(hào)或ip地址。

例如，我們可以在路由器上的廣域網(wǎng)接口上啟用擴(kuò)展acl，實(shí)現(xiàn)對(duì)外部icmp報(bào)文回顯的屏蔽，能夠有效防止攻擊者通過相關(guān)的回顯內(nèi)容搜集到路由4器的相關(guān)信息，下列語句可實(shí)現(xiàn)該設(shè)置。

router(config)#access-list 101 deny icmp any 202.100.2.1 0.0.0.255 echo

router(config)#access-list 101 permit any any

router(config-if)#ip access group 101 in

cisco路由器和交換機(jī)使用專用協(xié)議--cisco發(fā)現(xiàn)協(xié)議cdp來發(fā)現(xiàn)鄰居的cisco設(shè)備的相關(guān)信息,此協(xié)議安全性能薄弱，因此在邊界路由器中絕對(duì)禁用cdp，可能還需要根據(jù)管理軟件的要求在內(nèi)部路由器和交換機(jī)中禁用該協(xié)議。下列為禁用該協(xié)議的語句。

router(config)#no cdp run

router(config-if)#no cdp enable

2.加強(qiáng)管理和訪問控制

(1)應(yīng)用強(qiáng)密碼策略

不管是enable口令，telnet口令，還是其他的口令，在設(shè)置時(shí)應(yīng)盡可能的使用強(qiáng)密碼策略，創(chuàng)建口令時(shí)一定要混合使用大小寫、數(shù)字和符號(hào)，并對(duì)其進(jìn)行加密，并且要啟用server password-encryption命令。

router(config)#server Password-encryption

router(config)#enable secret password

(2)控制遠(yuǎn)程訪問與控制臺(tái)訪問

要嚴(yán)格控制對(duì)路由器vty的訪問，如果不需要遠(yuǎn)程訪問則禁止他，如果需要?jiǎng)t一定要設(shè)置強(qiáng)壯的密碼。由于vty在網(wǎng)絡(luò)的傳輸過程中數(shù)據(jù)是不加密的，所以需要對(duì)其進(jìn)行嚴(yán)格的控制。

如:設(shè)置強(qiáng)壯的密碼，控制連接的并發(fā)數(shù)目，采用訪問控制列表，嚴(yán)格控制訪問的地址?？梢酝ㄟ^命令exec-time 10來確保會(huì)話在未用狀態(tài)超過十分鐘后被關(guān)閉。下列為實(shí)現(xiàn)該設(shè)置的語句。

router(config)#line vty 0 15

router(config-line)#login

router(config-line)#password password

router(config-line)#exec-timeout 10

嚴(yán)格控制對(duì)console端口與aux端口的訪問，為console端口設(shè)置高強(qiáng)度密碼，aux端口默認(rèn)是開啟的。如果不啟用關(guān)閉它，實(shí)現(xiàn)語句如下:

router(config)#line con 0

router(config-line)transport input none

router(config-line)#password password

router(config)#line aux 0

router(config-line)#transport input none

router(config-line)#no exec

(3)關(guān)于基于web的配置

Cisco在iOS版本中加入了可以通過web方式來管理路由器的特性。這對(duì)于不熟悉cisco設(shè)置的人來說，無疑是一件方便的事情。但在引入了方便管理的同時(shí)，安全隱患也隨之產(chǎn)生，如果啟用了web管理方式，很容易繞過用戶認(rèn)證或者遭遇dos攻擊。因此，管理員應(yīng)當(dāng)禁止web配置，禁止web管理非常簡單，只需下面語句即可。

router(config)#no ip http server

3.關(guān)閉其他不必要的服務(wù)

在已部署的路由器中，每個(gè)已打開的端口都與一個(gè)偵聽服務(wù)相關(guān)聯(lián)。為了降低攻擊的可能性，必須關(guān)閉不必要的默認(rèn)服務(wù)，例如bootb和dns服務(wù)做很少使用。還應(yīng)掃描路由器都打得開哪些端口，把不必要的端口給關(guān)掉，下列語句可實(shí)現(xiàn)該設(shè)置。

router(config)#no ip domain-lookup

router(config)#no ip bootp server

router(config)#no snmp-server

router(config)#no snmp-server community public RO

router(config)#no snmp-server community admin RW

4.定期審查和查看日志

大多數(shù)的路由器都有日志功能，日志功能可記錄所有被拒絕的有入侵企圖的操作，應(yīng)養(yǎng)成定期備份和查看日志的好習(xí)慣。利用路由器的日志功能對(duì)于安全來說是十分重要的，cisco路由器支持如下的日志。

(1)AAA日志:主要收集關(guān)于用戶波路連接，登陸，http訪問權(quán)限變化等信息。這些日志用tacacs+radius協(xié)議送到認(rèn)證服務(wù)器幣并本地保存下來。

(2)SNMP Trap日志:發(fā)送系統(tǒng)狀態(tài)的改變到sn mp管理工作站。在網(wǎng)絡(luò)管理工作站上啟用smap trap監(jiān)視鏈路的拓補(bǔ)改變,當(dāng)路由器上的一條鏈路斷開的時(shí)候，網(wǎng)絡(luò)管理工作站就能接受到鏈路改變trap信息。

(3)系統(tǒng)日志:根據(jù)配置記錄大量的系統(tǒng)事件，并可以將這些日志發(fā)送到下列地方。

控制臺(tái)端口

syslog服務(wù)器

這里我最關(guān)注的就是系統(tǒng)日志，默認(rèn)的情況下，這些日志被送到控制臺(tái)端口。通過控制臺(tái)監(jiān)視來觀察系統(tǒng)的運(yùn)行情況，但是這種方式信息量小，且無法記錄下來供以后查看。下面語句為通過Show命令來查看系統(tǒng)當(dāng)前正在運(yùn)行的情況。

router#show configuration

router#show running-config

建議使用syslog服務(wù)器，將路由器日志信息發(fā)送到linux或windows下的syslog日志服務(wù)器長期保存下來以后查看。

1.2交換機(jī)的安全管理

交換機(jī)在內(nèi)部網(wǎng)絡(luò)中占有重要的定位，通常是整個(gè)內(nèi)部網(wǎng)絡(luò)的核心所在。交換機(jī)實(shí)際是一個(gè)為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計(jì)算機(jī)，是計(jì)算機(jī)就有被攻擊的可能，比如非法獲取交換機(jī)的控制權(quán)，導(dǎo)致網(wǎng)絡(luò)癱瘓，另一方面也會(huì)受到DOS攻擊，但與路由器相比，交換機(jī)的安全性常被忽視。其實(shí)為路由器定義的許多安全概念同樣適用于交換機(jī)。

1.修補(bǔ)程序和更新

必須盡早安裝和測試修補(bǔ)程序的更新。

2.使用管理訪問控制系統(tǒng)

使用與路由器相同的方法來控制交換機(jī)的管理訪問。

3.禁用未使用的端口

為了防止攻擊者接入未使用的端口，應(yīng)禁用交換機(jī)中未使用的以太網(wǎng)端口。

4.關(guān)閉危險(xiǎn)服務(wù)

確保所有未使用的服務(wù)都已禁用，確保禁用http。

5.利用vlan技術(shù)

vlan可以分隔網(wǎng)段，不同vlan之間的通信必須通過網(wǎng)絡(luò)層的路由來完成，否則，即便是同一交換機(jī)上的端口。假如他們不處于一個(gè)vlan，則絕對(duì)無法進(jìn)行數(shù)據(jù)通信。同時(shí)利用acl來保護(hù)交換機(jī)以及限制vlan之間的數(shù)據(jù)流，使用vlan之間的acl可對(duì)來自內(nèi)部的入侵提供直接的保護(hù)。