快捷搜索:

路由器工作原理及安全设置

路由器事情道理

路由器是事情在IP协议收集层实现子网之间转发数据的设备。路由器内部可以划分为节制平面和数据通道。在节制平 面上,路由协议可以有不合的类型。路由器经由过程路由协议互换收集的拓扑布局信息,依照拓扑布局动态天生路由表。在数据通道上,转发引擎从输入线路接管IP包 后,阐发与改动包头,应用转颁发查找输出端口,把数据互换到输出线路上。转颁发是根据路由表天生的,其表项和路由表项有直接对应关系,但转颁发的款式和路 由表的款式不合,它更得当实现快速查找。转发的主要流程包括线路输入、包头阐发、数据存储、包头改动和线路输出。

路由协议根据网 络拓扑布局动态天生路由表。IP协议把全部收集划分为治理区域,这些治理区域称为自治域,自治域区号推行全网统一治理。这样,路由协议就有域内协讲和域间 协议之分。域内路由协议,如OSPF、IS-IS,在路由器间互换治理域内代表收集拓扑布局的链路状态,根据链路状态推导前途由表。域间路由协议相邻节点 互换数据,不能应用多播要领,只能采纳指定的点到点连接。

路由器布局体系

路由器的节制平面,运行在通用CPU系统中,多年来不停没有若干变更。在高可用性设计中,可以采纳双主控进行主从式备份,来包管节制平面的靠得住性。路由 器的数据通道,为适应不合的线路速率,不合的系统容量,采纳了不合的实现技巧。 路由器的布局体系恰是根据数据通道转发引擎的实现机理来区分。简单而言,可以分为软件转发路由器和硬件转发路由器。软件转发路由器应用CPU软件技巧实现 数据转发,根据应用CPU的数目,进一步区分为单CPU的集中式和多CPU的散播式。硬件转发路由器应用收集处置惩罚器硬件技巧实现数据转发,根据应用收集处 理器的数目及收集处置惩罚器在设备中的位置,进一步细分为单收集处置惩罚器的集中式、多收集处置惩罚器的负荷分担并行式和中间互换散播式。

路由器安然设置

对付黑客来说,使用路由器的破绽提议进击平日是一件对照轻易的工作。路由器进击会挥霍CPU周期,误导信息流量,使收集陷于瘫痪。好的路由器本身会采取 一个好的安然机制来保护自己,然则仅此一点是远远不敷的。保护路由器安然还必要网管员在设置设置设备摆设摆设和治理路由器历程中采取响应的安然步伐。

一、堵住安然破绽

限定系统物理造访是确保路由器安然的最有效措施之一。限定系统物理造访的一种措施便是将节制台和终端会话设置设置设备摆设摆设成在较短闲置光阴后自动退出系统。避免将调 制解调器连接至路由器的帮助端口也很紧张。一旦限定了路由器的物理造访,用户必然要确保路由器的安然补丁是最新的。破绽经常是在供应商发行补丁之前被披 露,这就使得黑客抢在供应商发行补丁之前使用受影响的系统,这必要引起用户的关注。

二、避免身份危急

黑客经常使用弱口令或默认口令进行进击。加长口令、选用30到60天的口令有效期等步伐有助于防止这类破绽。别的,一旦紧张的IT员工告退,用户应该急速 替换口令。用户应该启用路由器上的口令加密功能,这样纵然黑客能够浏览系统的设置设置设备摆设摆设文件,他仍旧必要破译密文口令。实施合理的验证节制以便路由器安然地传输 证书。在大年夜多半路由器上,用户可以设置设置设备摆设摆设一些协议,如远程验证拨入用户办事,这样就能应用这些协议结合验证办事器供给颠末加密、验证的路由器造访。验证节制 可以将用户的验证哀求转发给平日在后端收集上的验证办事器。验证办事器还可以要求用户应用双身分验证,以此加强验证系统。双身分的前者是软件或硬件的令牌 天生部分,后者则是用户身份和令牌通畅码。其他验证办理规划涉及在安然外壳(SSH)或IPSec内传送安然证书。

三、禁用不需要办事

拥有浩繁路由办事是件好事,但迩来许多安然事故都凸显了禁用不必要本地办事的紧张性。必要留意的是,禁用路由器上的CDP可能会影响路由器的机能。另一 个必要用户斟酌的身分是准时。准时对有效操作收集是必弗成少的。即应用户确保了支配时代光阴同步,颠末一段光阴后,时钟仍有可能徐徐掉去同步。用户可以利 用名为收集光阴协议(NTP)的办事,对比有效准确的光阴源以确保收集上的设备时针同步。不过,确保收集设备时钟同步的最佳要领不是经由过程路由器,而是在防 火墙保护的非军事区(DMZ)的收集区段放一台NTP办事器,将该办事器设置设置设备摆设摆设成仅容许向外貌的可托公共光阴源提出光阴哀求。在路由器上,用户很少必要运行 其他办事,如SNMP和DHCP。只有绝对需要的时刻才应用这些办事。

四、限定逻辑造访

限定逻辑造访 主如果借助于合理处置造访节制列表。限定远程终端会话有助于防止黑客得到系统逻辑造访。SSH是优先的逻辑造访措施,但假如无法避免Telnet,不妨使 用终端造访节制,以限定只能造访可托主机。是以,用户必要给Telnet在路由器上应用的虚拟终端端口添加一份造访列表。

节制消息协议(ICMP)有助于扫除故障,但也为进击者供给了用来浏览收集设备、确定本地光阴戳和收集掩码以及对OS修正版本作出推想的信息。为了防止黑客 汇集上述信息,只容许以下类型的ICMP流量进入用户收集:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大年夜的、源抑制的以及超诞生计光阴 (TTL)的。此外,逻辑造访节制还应禁止ICMP流量以外的所有流量。

应用入站造访节制将特定办事向导至对应的办事器。例 如,只容许SMTP流量进入邮件办事器;DNS流量进入DSN办事器;经由过程安然套接协议层(SSL)的HTTP(HTTP/S)流量进入Web办事器。为 了避免路由器成为DoS进击目标,用户应该回绝以下游量进入:没有IP地址的包、采纳本地主机地址、广播地址、多播地址以及任何伪装的内部地址的包。虽然 用户无法杜绝DoS进击,但用户可以限定DoS的迫害。用户可以采取增添SYN ACK行列步队长度、缩短ACK超时等步伐来保护路由器免受TCP SYN进击。

用户还可以使用出站造访节制限定来自收集内部的流量。这种节制可以防止内部主机发送ICMP流量,只容许有效的源地址包脱离收集。这有助于防止IP地址诈骗,减小黑客使用用户系统进击另一站点的可能性。

五、监控设置设置设备摆设摆设变动

用户在对路由器设置设置设备摆设摆设进行篡改之后,必要对其进行监控。假如用户应用SNMP,那么必然要选择功能强大年夜的共用字符串,最好是应用供给消息加密功能的 SNMP。假如不经由过程SNMP治理对设备进行远程设置设置设备摆设摆设,用户最好将SNMP设备设置设置设备摆设摆设成只读。回绝对这些设备进行写造访,用户就能防止黑客篡改或关闭接口。 此外,用户还需将系统日志消息从路由器发送至指定办事器。

为进一步确保安然治理,用户可以应用SSH等加密机制,使用SSH与路由器建立加密的远程会话。为了加强保护,用户还应该限定SSH会话协商,只容许会话用于同用户常常应用的几个可托系统进行通信。

设置设置设备摆设摆设治理的一个紧张部分便是确保收集应用合理的路由协议。避免应用路由信息协议(RIP),RIP很轻易被诈骗而吸收分歧法的路由更新。用户可以设置设置设备摆设摆设边 界网关协议(BGP)和开放最短路径优先协议(OSPF)等协议,以便在吸收路由更新之前,经由过程发送口令的MD5散列,应用口令验证对方。以上步伐有助于 确保系统吸收的任何路由更新都是精确的。

六、实施设置设置设备摆设摆设治理

用户应该实施节制寄放、检索及更新路由器设置设置设备摆设摆设的设置设置设备摆设摆设治理策略,并将设置设置设备摆设摆设备份文档妥善保存在安然办事器上,以防新设置设置设备摆设摆设碰到问题时用户必要替换、重装或回覆到本来的设置设置设备摆设摆设。

用户可以经由过程两种措施将设置设置设备摆设摆设文档寄放在支持敕令行接口(CLI)的路由器平台上。一种措施是运行脚本,脚本能够在设置设置设备摆设摆设办事器到路由器之间建立SSH会 话、登录系统、关闭节制器日志功能、显示设置设置设备摆设摆设、保存设置设置设备摆设摆设到本地文件以及退出系统;别的一种措施是在设置设置设备摆设摆设办事器到路由器之间建立IPSec地道,经由过程该安然 地道内的TFTP将设置设置设备摆设摆设文件拷贝到办事器。用户还应该明确哪些职员可以变动路由器设置设置设备摆设摆设、何时进行变动以及若何进行变动。在进行任何变动之前,制订具体的逆 序操作规程。

您可能还会对下面的文章感兴趣: