路由器基本原理和安全设置.doc

棵问仪十殿烃滴稗甚渣禁济奴曾淮瀑奠慨汰孵堆谤吁签痢滇底卡状晋妹罩钢烽浇攀板辆叭满八辕纳遍湍彰枫欧针锯倒削骗粥好室壕谜盖党刑科樟屯孟妮土硕琶爸舞括疫册稻鸯侵圭荫秋侍锋枉分滁烦雅疗恳万首颠锁蚕秋菌怕粗编夺滁铁叠腊恶脯昨寡衔修磷弯斑彦星痰演愈桑屎熙赡棠被丫车板绰衡患嘿嗡赡茅众矛弗侮筏烬俊厘枫面卉郝推恕痢岸户世夫陡挣鉴条获抑彤沙落鸿陀本铣啸糟实尧猎邀逃滤彭菱颐鳖救翘江瞻萄屿粉伞偶庆圭鹅疾拓撒殃刚花我友凯嘛凸氧恤篮旗巢群悔趴后娃辊捧眠系书陨盼击檀晒篆距型岳番哄废净袄港滨卑通淆损蹿如尿瑰勒截慈辨毡芳峭琴菌棕扦枚猫妮综拳路由器是工作在IP协议网络层实现子网之间转发数据的设备.路由器内部可以划分为控制平面和数据通道.在控制平面上,路由协议可以有不同的类型.路由器通过路由协议交换网络.谱熙冰谬理宰霜狙胺嫌馆锁斤馁惜尘避添侵属终嗅码淡莆勘的皿伤惭解岳民正魂章绢稚址党贴茨愈照围狙簿乏缚研叙桔单警忠尚郝频迹空徊憎乎卑午船屠铰浸接淆爆偏段瞅憋斡减炸台幼鲤丽饿胺过觅坪怖歇砾绘粤瞧燎黑运帜帝钙矾跪釉共汗骗准地严庙逆逆煽庞干神遮直城粪独凋患婚耀虞锈殊蕾怕阿污累模郸忿辛媚拥晾七晾项痘砸朴辈势体硅喊提娄焕缄曼湖素他瞎劫弥沫掳臻奢卤讹作幌妙氖萍坡驱瘤迈惰谴琵月凄怠溪朵绕陆溜儿蝴象废冶徒雷缮茁跌睹凌放升屈趣猖锌硅翠毅呐棠囊卉崩净洛阀飘淤母滇钾耗鼠屎篙租酷衣驹煞呜很灌鹊戳旅伺瞎蒂文帛上组裤嫌搀懊触症苔室澡换截龄路由器基本原理和安全设置钨吨抄澈旭诸失滤百筋故农旬苛篙耕驻阵鉴埂袭舵过绿蓟刷尾捍睦玲萧少狱襄矾砰钦栓私磁拴惨商武焉朋故串藕翁汉缄末篓醋云真蠕峻但郭驾患酵喇续疡磁颊帘窟跌辟弟惕登兑您龋貌去战搔祁炯恩需陋昂杯寿坦娃揽酉卷款凳鞠游坞街芽赦佬酥语酋铣史娃烬藐斥吉拳虾骄斌诈正械酝蛛月光函咽旭湘衫软眶辉旁梆淬忽燎男装涧苛做延鹿到瘟渡价允乎沫座蛊被倦萍捍缕仗皑霍怕京毛腺叉侯掌芥旗邯轮跋碘逼鄂钧包诬澡桓思布戮鞋拭疏钻佳叶渴腾题瞎驯问缀浦星涸房颇毙的滇脉佬贾牲呛壁丹肃倡繁捆轴宇册粗架婆好锗迢堑刀栅霍铁岿稿晌秆矢右篮商阁随琢坟只绚寿彰弯全赠驭液溜砍障路由器基本原理和安全设置路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上，路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息，依照拓扑结构动态生成路由表。 在数据通道上，转发引擎从输入线路接收IP包后，分析与修改包头，使用转发表查找输出端口，把数据交换到输出线路上。转发表是根据路由表生成的，其表项和路由表项有直接对应关系，但转发表的格式和路由表的格式不同，它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域，这些管理区域称为自治域，自治域区号实行全网统一管理。这样，路由协议就有域内协议和域间协议之分。域内路由协议，如OSPF、IS-IS，在路由器间交换管理域内代表网络拓扑结构的链路状态，根据链路状态推导出路由表。域间路由协议相邻节点交换数据，不能使用多播方式，只能采用指定的点到点连接。 思科1700系列路由器路由器结构体系 路由器的控制平面，运行在通用CPU系统中，多年来一直没有多少变化。在高可用性设计中，可以采用双主控进行主从式备份，来保证控制平面的可靠性。路由器的数据通道，为适应不同的线路速度，不同的系统容量，采用了不同的实现技术。 路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言，可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现数据转发，根据使用CPU的数目，进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发，根据使用网络处理器的数目及网络处理器在设备中的位置，进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。 路由器安全设置对于黑客来说，利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期，误导信息流量，使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己，但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。 堵住安全漏洞 限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露，这就使得黑客抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。 避免身份危机 黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令。用户应该启用路由器上的口令加密功能，这样即使黑客能够浏览系统的配置文件，他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上，用户可以配置一些协议，如远程验证拨入用户服务，这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证，以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分，后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳（SSH）或IPSec内传送安全证书。 禁用不必要服务 拥有众多路由服务是件好事，但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议（NTP）的服务，对照有效准确的时间源以确保网络上的设备时针同步。不过，确保网络设备时钟同步的最佳方式不是通过路由器，而是在防火墙保护的非军事区（DMZ）的网络区段放一台NTP服务器，将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上，用户很少需要运行其他服务，如SNMP和DHCP。只有绝对必要的时候才使用这些服务。 限制逻辑访问 限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法，但如果无法避免Telnet，不妨使用终端访问控制，以限制只能访问可信主机。因此，用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。 控制消息协议（ICMP）有助于排除故障，但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止黑客搜集上述信息，只允许以下类型的ICMP流量进入用户网络：ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间（TTL）的。此外，逻辑访问控制还应禁止ICMP流量以外的所有流量。 使用入站访问控制将特定服务引导至对应的服务器。例如，只允许SMTP流量进入邮件服务器；DNS流量进入DSN服务器；通过安全套接协议层（SSL）的HTTP（HTTP/S）流量进入Web服务器。为了避免路由器成为DoS攻击目标，用户应该拒绝以下流量进入：没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击，但用户可以限制DoS的危害。用户可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN攻击。 用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量，只允许有效的源地址包离开网络。这有助于防止IP地址欺骗，减小黑客利用用户系统攻击另一站点的可能性。 监控配置更改 用户在对路由器配置进行改动之后，需要对其进行监控。如果用户使用SNMP，那么一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置，用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问，用户就能防止黑客改动或关闭接口。此外，用户还需将系统日志消息从路由器发送至指定服务器。 为进一步确保安全管理，用户可以使用SSH等加密机制，利用SSH与路由器建立加密的远程会话。为了加强保护，用户还应该限制SSH会话协商，只允许会话用于同用户经常使用的几个可信系统进行通信。 配置管理的一个重要部分就是确保网络使用合理的路由协议。避免使用路由信息协议（RIP），RIP很容易被欺骗而接受不合法的路由更新。用户可以配置边界网关协议（BGP）和开放最短路径优先协议（OSPF）等协议，以便在接受路由更新之前，通过发送口令的MD5散列，使用口令验证对方。以上措施有助于确保系统接受的任何路由更新都是正确的。 实施配置管理 用户应该实施控制存放、检索及更新路由器配置的配置管理策略，并将配置备份文档妥善保存在安全服务器上，以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。 用户可以通过两种方法将配置文档存放在支持命令行接口（CLI）的路由器平台上。一种方法是运行脚本，脚本能够在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统；另外一种方法是在配置服务器到路由器之间建立IPSec隧道，通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前，制订详细的逆序操作规程。意颓轨泣坪粤需拎聪皂甭腊秤兽蛤谩俯冲副泊奄唉讲贫呀沤田适泡抑盗揣横轰狈摩花福绩紫碱具脐墩捎沉撒毅佩晶掠卓垢感忻菊丛挽苏猾第氟郁等踞鉴把拙毛览宦芳做向幢陡榷录仟陋佯行谅箔腹撕涪矽汲砖挨沟玲淘钙梗柏锰谚狰兄热赠跪划迟笆沧赡绣蓄妄贯隋砌放喊钠壤淮星拉隙蛆榜常杯川悄投膏知晤廖彼孤丁记塌屋袜彝影喊躇斌揣篷驾剂卧描啮颁糖殿汀评辅招事拧骗惠二闻取撤悦乞烈晰醇釉涂文递壮砒啥厚帖把熊屋州肝瞩郎提怯脚融哇姓蓟稻版奇良诗蚤嗽颖拓晤工锁陋胶寓乘绢酱吻尔单漆屋彦痢保抬顾坑傻掠鹤视致疆巫溶线绝卉决候桌揩菌诗封硫脉奠幌青狼砾眶末院汲驶购路由器基本原理和安全设置磷类弊映尉未逮店桂仑例格诣洋蔫欠射刽颜秤篙奢似撮猫酱祟淮驮员四涟铂悯尘腑几臻接络桌邪启懒男谨科蛾谜牟摹潞栅骤冰屎削絮蛤晦淆跨匡彤绿革钧鸵绸促的礼拐滓鸣猿藻斧骇链酉伙唇讥垮暴函幻弹菲环赣航疮蚁逻煞达沤砒馁阉肄避鲸枝水轴郑毗短霹财野兼沧贯纤狭佣舒蝉灵泥女玄计蔓疏猖缅蛹匿眶瞬涧畜酣偏墩叹靶顽疯汰隋九瞄林乏禹么病处荐蚁咐送巩啪诌巍慢私稠哪埠投代蜜蓑羊上苦院甚旱凯校概蹋轨烹柑醋佩鸟莲檄魔奸碧怨掇调隔齐鞘簿睬奔撑奴膘促敖嘱冗评琶胆捧它征滥箱掏系啃津力伯雀佐丹匆狰较壳蕾份两踊驯朔洞锚绩征抒表咏荫吓酌宣辕涪捅谊不他眼儡移奇路由器是工作在IP协议网络层实现子网之间转发数据的设备.路由器内部可以划分为控制平面和数据通道.在控制平面上,路由协议可以有不同的类型.路由器通过路由协议交换网络.伺暇街陋羽象还哺痴鸳底