摘要: 目前每一个家庭和公司都会采用路由器连接网络的方式上网,学习一些关于路由器设置的知识对于我们来说还是很有必要的,本文以灵科路由器为大家介绍设置时需要注意到的地方,以免出现遗漏的地方。
怎样配置思科路由器自反ACL 实现网段之间单向访问?
怎样配置思科路由器自反ACL 实现网段之间单向访问? ACL可以限制网络流量、提高网络性能,为了保护内网的安全,可以只允许内网访问外网,不允许外网访问内网,这里利用cisco 路由器的自反ACL来实现。用户需要配置路由协议,以下配置的是RIP Version1的,也可以配置别的,如EIGRP或OSPF。 一、实验拓扑图 二、实验要求 要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。 三、实验配置 1、配置路由器,并在R1、R3上配置默认路由确保IP连通性。 R1(config)#in
一、密码安全
目前网络上的入侵攻击常常以弱口令或默认口令开始,所以更改复杂的口令,有助于防御这类攻击,启用路由器的口令加密功能,还可以配置一些协议,如远程验证拨入用户服务,结合验证服务器提供经过加密、验证的路由器访问,以加强路由器的安全系数,提高整个网络的安全性。
二、安全漏洞
路由器本身就可以说是一台小型的电脑,那么它自身也会存在一些漏洞,入侵者利用路由器自身缺点进行攻击,也是常用的手段,所以,我们必须在堵住路由器安全漏洞,限制系统物理访问是最有效的方法之一,因为网络上想要连接上路由器的时间较长,所以我们可以设置控制台和终端会话路由器配置如果有较短闲置时间后,就会自动退出,这样就当入侵者刚连接上路由器时,由于时间到了自动退出,同时避免将调制解调器连接到路由器的辅助端口。
三、限制访问方式
1、借助于合理处置访问控制列表,限制远程终端会话,有助于防止入侵者获得系统访问,SSH是优先的访问方法,如果一定要使用TELNET连接,不妨使用终端访问控制,以限制只能由指定的电脑访问,这需要给TELNET在路由器上使用的虚拟终端端口添加一份访问列表。
2、控制消息协议ICMP有助于排除故障,但也为入侵者提供了网络设备、时间和掩码等信息,我们可以只允许以下类型的ICMP流量进入网络:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间的,同时禁止ICMP流量以外的所有流量。
四、路由器配置管理
1、如果使用了SNMP,则一定要选择功能强大的共用字符串,最好是使用提供消息加密功能的SNMP,如果不通过SNMP管理而对设备进行远程路由器配置,最好将SNMP设备路由器配置成只读,拒绝对这些设备进行写访问,能防止入侵者改动或关闭接口,将系统日志信息从路由器发送至指定服务器,以便随时查看。
2、确保网络使用合理的路由器协议,避免使用路由信息协议,因为RIP很容易被欺骗而接受不合法的路由更新,所以,必须实施控制存放、检索及更新路由器配置,以便在新配置出现问题时能更换、重装或恢复到原先的路由器配置。
3、我们可以将配置文档存放在支持命令行接口的路由器平台上,利用脚本建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存路由器配置到本地文件以及退出系统,或是建立IPSEC遂道,通过该安全遂道内的TFTP,将路由器配置文件拷贝到服务器。
通过以上的方法,你将大大增强路由器运行的稳定性,避免受到攻击,出现局域网断网等问题的出现,同时也能让你更加合理方便的管理路由器。
AR28/AR46系列 路由器基于源地址策略路由的典型配置
AR28/AR46系列 路由器基于源地址策略路由的典型配置 策略路由 策略路由,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。 一、需求 定义策略aaa的策略路为由控制所有从以太网口E3/0/0接口接收的TCP报文,使用串口serial1/0/0发送,对其它报文,仍然按照查找路由表的方式进行转发。5号节点,表示匹配acl 3101的以太网报文将被发往串口serial1/0/0;10号节点,表示匹配a
