配置Cisco路由器的安全考虑
来源:ChinaITLab 更新时间:2012-04-13

 如何配置路由器是事关网络安全的核心问题,在配置时,不仅要满足其互联互通的基本功能,更重要的是要融入一些基于网络安全性的考虑,真正使其成为维护网络安全的一道屏障。下面就将本人学习过程中一些基于安全性的考虑与大家共勉。
  Cisco系列路由器一般有Consle Aux 和Ethernet口可登录到路由器对其进行配置,这为网络管理员对其进行管理提供了很大的方便,同时也给不速之客提供了可乘之机。为了拒不速之客于门外,应该通过给相应的端口加上口令实施最基本的安全控制。具体配置如下:
  Cisco3640(config)#line vty 0 4
  Cisco3640(configline)#login
  Cisco3640(configline)#password xxxxxxx
  Cisco3640(config)#line aux 0
  Cisco3640(configline)#login
  Cisco3640(configline)#password xxxxxxx
  Cisco3640(config)#line con 0
  Cisco3640(configline)#password xxxxxxx
  其次,对超级用户密码的设置成为拒不速之客于门外的第二道屏障,可以防止配置被修改,具体配置如下:
  Cisco3640#conf term
  Cisco3640(config)#enable secret xxxxxxx
  有了这些配置,您起码可以禁闭门户,有效地防止不速之客的暗访了。当然,这只是众多安全措施中最基本的一步,要想寻求全方位的安全防护还应另找门路。有的放矢选择限制。
  若要在大量进进出出的信息中分清 "敌我",还要在"滤包"的环节上做文章。所谓的包过滤,简而言之,就是拒绝含有非法IP的源或目的地址通过路由器的Serial或其他端口进行某些非法访问,同时让合法的信息包无条件进出。要实现这一步,Cisco系列路由器所支持的访问列表功能可使你得心应手。
  首先举例来说明基本访问列表对源地址的控制,网络拓扑结构如下图所示。
  
  
  Cisco3640#config term
  Cisco3640(config)#accesslist
  1permit ip 10.10.11.2
  Cisco3640(config)#access
  list 2 permit ip 9.123.45.2
  Cisco3640(config)#access
  list 3 permit ip 9.123.46.2
  有了具体的访问列表,还必须作用于相应的物理端口才会起作用。即:
  Cisco3640(config)#int e0/0
  Cisco3640(configif)#ip
  accessgroup 1 in
  Cisco3640(config)#int s0
  Cisco3640(configif)#ip
  accessgroup 2 in
  Cisco3640(config)#int s1
  Cisco3640(configif)#ip
  accessgroup 3 in
  这样一来,对于一号路由器的以太网口来说,只有来自源地址为10.10.11.2的信息包( 即PC1)才可以进入此端口,通过路由器与外部进行通信,而来自其他地址的信息包均被拒绝进入。有了这一级防护,既切断了"黑客"的后路,也明确了合法者的权限。很明显,PC1局域网段内除PC1外的其他PC机和服务器对于PC2 和PC3来说等同于不存在,他们是无法"看"到的。这样就从另一侧面增强了系统的安全性。
  下面再看看扩展访问列表的相关应用。
  路由器所支持的扩展访问列表可以对目的地址、源地址和应用程序端口等诸多因素进行指定和限制,有针对性的对不安全因素进行控制,全方位提高网络的安全性。如下例:
  Cisco3640#config term
  Cisco3640(config)#access
  list 110 permit ip 10.10.11.2 9.123.45.2
  Cisco3640(config)#access
  list 110 permit udp gt
  1023 10.10.11.2 9.123.46.2 eq 53
  Cisco3640(config)#access
  list 110 permit icmp any any eq echoreply
  Cisco3640(config)#access 111
  deny tcp any 10.10.11.2 eq telnet
  Cisco3640(config)#int e0/0
  Cisco3640(configif)#ip accessgroup 110 in
  Cisco3640(config)#int s0/0
  Cisco3640(configif)#ip accessgroup 111 in
  Cisco3640(configif)#exit
  Cisco3640(config)#exit
  Cisco3640#
  第一条配置只允许来自10.10.11.2,去往 9.123.45.2的IP包通过相应端口。第二条配置允许使用客户源端口方式的主机发往 9.123.46.2 地址且目的端口为 53的UDP报文通过。第三条配置允许作为Ping命令回应请求的应答报文通过相应端口,而不限制源和目的地址。第四条配置将禁止任何到PC1的远程登录。将这样的访问列表作用于相应端口,提高了系统的安全性。但在使用访问列表的时候应该注意以下几点。每一个访问列表的最后都隐含着"Deny all"语句,这就意味着,如不做特殊考虑,除"Permit"条件允许的部分外,其他地址都被拒绝,这将使某些合法者也被拒绝。其次,除非使用命名访问列表,在对列表进行修改时,必须将原有列表删除后重新建立,否则将毫无意义。最后,一定要注意列表中各表项的顺序,因为访问列表采用顺序匹配执行的原则,一旦相关项得到匹配,其后的有关项将不再执行,致使访问列表不能完全生效。