交換機(jī)與路由器的安全配置

白桂君　余夢(mèng)琪　韓珺

摘要：進(jìn)入21世紀(jì)以來，我們就進(jìn)入了信息時(shí)代，全世界的計(jì)算機(jī)通過網(wǎng)絡(luò)聯(lián)系到一起，其安全配置更需要得到我們的注意。在本文中，我們將對(duì)交換器和路由器安全配置的有效方法進(jìn)行分析，以保障其在運(yùn)行過程的安全性和穩(wěn)定性。

關(guān)鍵詞：交換機(jī)；路由器；安全配置；維護(hù)方法

隨著網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)攻擊等的不斷出現(xiàn)，網(wǎng)絡(luò)的安全性成為了各界人士共同關(guān)注的問題。由于網(wǎng)絡(luò)的開放性和交互性，存在著很多因素，對(duì)網(wǎng)絡(luò)安全產(chǎn)生著消極影響。網(wǎng)絡(luò)硬件配置不協(xié)調(diào)、訪問控制配置的錯(cuò)誤，都有可能導(dǎo)致網(wǎng)絡(luò)安全性問題，影響網(wǎng)絡(luò)功能的發(fā)揮。交換機(jī)與路由器是網(wǎng)絡(luò)設(shè)置中的重要組成部分，我們應(yīng)做好交換機(jī)與路由器的安全配置工作，從而提高網(wǎng)絡(luò)環(huán)境的安全性。

1、交換機(jī)的安全配置

交換機(jī)的主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯(cuò)誤校驗(yàn)、幀序列以及流量控制。目前一些高檔交換機(jī)還具備了一些新的功能，如對(duì)VLAN（虛擬局域網(wǎng)）的支持、對(duì)鏈路匯聚的支持，甚至有的還具有路由和防火墻的功能。交換機(jī)在企業(yè)網(wǎng)絡(luò)中占有非常重要的地位，一般是企業(yè)整個(gè)網(wǎng)絡(luò)的核心，尤其是在這個(gè)黑客頻出的時(shí)代，交換機(jī)承擔(dān)了一定的安全防護(hù)任務(wù)，因此，一般來說交換機(jī)在制造的過程中，已經(jīng)將安全問題考慮在其中，使其具備基本的訪問控制、防火墻、入侵檢測(cè)和防病毒等功能。具體來說，對(duì)交換機(jī)的安全配置可以通過如下幾個(gè)方面進(jìn)行：

1.1 對(duì)流量進(jìn)行控制

在企業(yè)網(wǎng)絡(luò)的運(yùn)行過程中，有的時(shí)候會(huì)存在異常流量，對(duì)企業(yè)的寬帶網(wǎng)進(jìn)行流量竊取，而安全交換機(jī)能夠?qū)@部分異常流量進(jìn)行檢測(cè)和管理，使其控制在一個(gè)合理的范圍之內(nèi)，從而限制異常流量，保持網(wǎng)絡(luò)的通暢。

1.2 虛擬局域網(wǎng)

交換機(jī)的其中一個(gè)保障安全性的功能，就是虛擬局域網(wǎng)。虛擬局域網(wǎng)能夠?qū)⒕W(wǎng)絡(luò)分成一個(gè)個(gè)獨(dú)立的區(qū)域，對(duì)這些區(qū)域進(jìn)行控制和管理，限制其是否可以通訊。一般情況下，虛擬局域網(wǎng)能夠跨越一個(gè)或者多個(gè)交換機(jī)，使設(shè)備之間實(shí)現(xiàn)在同一個(gè)網(wǎng)絡(luò)間的通訊。虛擬局域網(wǎng)能夠?qū)W(wǎng)絡(luò)內(nèi)的訪問進(jìn)行授權(quán)，也可以對(duì)一些限制用戶的行為進(jìn)行控制，阻止其訪問。

1.3 訪問控制列表

交換機(jī)能夠?qū)υL問列表進(jìn)行控制，能夠?qū)崿F(xiàn)防火墻的安全功能，使交換機(jī)的安全防護(hù)功能進(jìn)一步增強(qiáng)。在以往的經(jīng)驗(yàn)中，訪問控制列表只能夠在核心路由器上進(jìn)行使用，而在安全交互機(jī)中，訪問控制過濾措施可以基于端口、ICMP類型或者M(jìn)ac地址來實(shí)現(xiàn)。訪問控制列表既可以讓網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)策略進(jìn)行制定，使部分用戶或者是特定的數(shù)據(jù)流被允許或者拒絕，也能夠加強(qiáng)網(wǎng)絡(luò)的安全屏障，使黑客難以找到主機(jī)，從而失去發(fā)動(dòng)攻擊的目的地。

2、路由器的安全配置

路由器在人們的生活中非常常見，能夠?qū)⒂?jì)算機(jī)連接到網(wǎng)絡(luò)中，并且能夠根據(jù)信道的情況來自動(dòng)選擇和設(shè)定路由，以最佳路徑來發(fā)送信號(hào)。路由器的主要功能有兩種，一種是數(shù)據(jù)通道功能，能夠幫助數(shù)據(jù)在網(wǎng)絡(luò)中實(shí)現(xiàn)傳輸，另一種是控制功能，一般由軟件來實(shí)現(xiàn)，可以使該路由器與相鄰路由器之間進(jìn)行信息的交流和系統(tǒng)的管理、配置。對(duì)于黑客來說，能夠快速找到路由器的安全漏洞，并發(fā)動(dòng)攻擊，導(dǎo)致cpu周期被浪費(fèi)，誤導(dǎo)信息流量，甚至?xí)斐删W(wǎng)絡(luò)的癱瘓。路由器的安全配置主要有如下幾個(gè)方面：

2.1 發(fā)現(xiàn)并堵住安全漏洞

當(dāng)前，最有效的一種路由器安全防護(hù)方法，就是限制系統(tǒng)物理訪問。限制系統(tǒng)物理訪問的方法，主要是對(duì)控制臺(tái)和終端會(huì)話進(jìn)行配置，使其在空閑的實(shí)施能夠自動(dòng)退出系統(tǒng)。還有一種方法就是將調(diào)制解調(diào)器連接到路由器的輔助端口上。在限制了路由器的系統(tǒng)物理訪問的同時(shí)，應(yīng)確保路由器的安全補(bǔ)丁是最新的。由于漏洞一般是在各種殺毒軟件、防火墻在發(fā)布補(bǔ)丁之前就出現(xiàn)了，因此黑客很有可能搶在補(bǔ)丁發(fā)布之前來對(duì)系統(tǒng)進(jìn)行攻擊，從而影響系統(tǒng)的應(yīng)用，因此用戶也應(yīng)做好日常維護(hù)，防止黑客攻擊。

2.2 防止個(gè)人身份信息暴露

黑客在對(duì)計(jì)算機(jī)進(jìn)行侵入的時(shí)候，一般會(huì)嘗試用安全性比較弱的密碼來進(jìn)行侵入，因此在設(shè)置密碼的時(shí)候應(yīng)盡可能增加密碼的長(zhǎng)度，并經(jīng)常對(duì)密碼進(jìn)行更改，防止黑客的攻擊。在一個(gè)企業(yè)中，如果員工辭職了，應(yīng)馬上對(duì)計(jì)算機(jī)的密碼進(jìn)行更改，防止個(gè)人身份信息泄露，使黑客進(jìn)入企業(yè)網(wǎng)絡(luò)中進(jìn)行攻擊。路由器中應(yīng)開啟加密功能，防止黑客對(duì)網(wǎng)絡(luò)中的信息進(jìn)行瀏覽，在用戶進(jìn)入網(wǎng)絡(luò)的時(shí)候應(yīng)對(duì)其身份進(jìn)行驗(yàn)證，才能夠?yàn)橛脩籼峁┚W(wǎng)絡(luò)服務(wù)。

2.3 對(duì)不必要的服務(wù)進(jìn)行攔截

擁有眾多路由服務(wù)是件好事，但近來許多安全事件都凸顯了禁用不需要本地服務(wù)的重要性。需要注意的是，禁用路由器上的CDP可能會(huì)影響路由器的性能。另一個(gè)需要用戶考慮的因素是定時(shí)。定時(shí)對(duì)有效操作網(wǎng)絡(luò)是必不可少的。即使用戶確保了部署期間時(shí)間同步，經(jīng)過一段時(shí)間后，時(shí)鐘仍有可能逐漸失去同步。用戶可以利用名為網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）的服務(wù)，對(duì)照有效準(zhǔn)確的時(shí)間源以確保網(wǎng)絡(luò)上的設(shè)備時(shí)針同步。不過，確保網(wǎng)絡(luò)設(shè)備時(shí)鐘同步的最佳方式不是通過路由器，而是在防火墻保護(hù)的非軍事區(qū)（DMZ）的網(wǎng)絡(luò)區(qū)段放一臺(tái)NTP服務(wù)器，將該服務(wù)器配置成僅允許向外面的可信公共時(shí)間源提出時(shí)間請(qǐng)求。在路由器上，用戶很少需要運(yùn)行其他服務(wù)，如SNMP和DHCP。只有絕對(duì)必要的時(shí)候才使用這些服務(wù)。

結(jié)語

總之，我們應(yīng)認(rèn)識(shí)到安全配置對(duì)于網(wǎng)絡(luò)安全的重要性，并做好交換機(jī)和路由器的安全配置工作，從而保障用戶的數(shù)據(jù)安全。

【參考文獻(xiàn)】：

[1]劉濤.Cisco Packet Tracer在交換機(jī)路由器配置實(shí)踐中的應(yīng)用[J].阜陽職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013（02）：44-47.

[2]歐軍.基于工作過程的《交換機(jī)與路由器配置》課程研究[J].吉林省教育學(xué)院學(xué)報(bào)（上旬），2013（02）：153-154.

[3]董超.淺析交換機(jī)路由器的配置維護(hù)和管理[J].中小企業(yè)管理與科技（下旬刊），2012（05）：301-302.

[4]白凱.路由器/交換機(jī)配置批量備份的探索[A].中國通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì).中國通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)2009年年會(huì)論文集（上冊(cè)）[C].中國通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)，2009：7.

[5]劉允.用TFTP服務(wù)器備份路由器、交換機(jī)配置[J].華南金融電腦，2005（09）：108.