如何提升網(wǎng)絡(luò)路由器訪問安全性

高文琦

（93307部隊(duì)，遼寧 沈陽 110000）

0 引言

大數(shù)據(jù)技術(shù)有利于大數(shù)據(jù)資源的分項(xiàng)，而數(shù)據(jù)資源的安全性也成為人們關(guān)注的焦點(diǎn)。路由器訪問控制技術(shù)有利于維護(hù)數(shù)據(jù)資源的安全性，營(yíng)造更加安全和健康的網(wǎng)絡(luò)環(huán)境，故而應(yīng)對(duì)此加強(qiáng)重視。

1 路由器訪問控制技術(shù)

路由器訪問控制技術(shù)主要指，當(dāng)網(wǎng)絡(luò)數(shù)據(jù)資源受到巨大攻擊和威脅時(shí)，采取科學(xué)有效的管理及防護(hù)方案維護(hù)網(wǎng)絡(luò)安全運(yùn)行。以往，ACL僅用在路由器上，當(dāng)前其也可應(yīng)用于三層交換機(jī)中，且部分二層交換機(jī)也在諸多領(lǐng)域得到應(yīng)用。

2 訪問技術(shù)原理及過程分析

2.1 原理

ACL技術(shù)可在入口位置對(duì)流量數(shù)據(jù)包加以控制，對(duì)網(wǎng)絡(luò)訪問予以嚴(yán)格把控，加大對(duì)流量的控制力度。ACL技術(shù)合理應(yīng)用網(wǎng)絡(luò)訪問中的權(quán)限限制模塊，保證系統(tǒng)運(yùn)行的穩(wěn)定性和安全性。訪問控制技術(shù)能夠?qū)χ匾Y源的訪問權(quán)限采取嚴(yán)格的控制措施，有效降低信息竊取和系統(tǒng)遭受破壞的可能性。ACL技術(shù)也可利用數(shù)據(jù)源IP地址、目的口地址及協(xié)議類型對(duì)網(wǎng)絡(luò)數(shù)據(jù)實(shí)行嚴(yán)格把控，數(shù)據(jù)包進(jìn)入路由器后，可仔細(xì)觀察路由表，明確數(shù)據(jù)包轉(zhuǎn)發(fā)的地址和接口，如數(shù)據(jù)包與其無密切的聯(lián)系，則可直接淘汰。

2.2 過程分析

ACL技術(shù)本質(zhì)上是對(duì)信息進(jìn)行全方位的綜合性判斷，從上而下開展語義分析工作，如首要條件符合要求，則無需比較其他條件。因此，語序設(shè)置十分重要。首先，路由器在收到數(shù)據(jù)包后即可對(duì)訪問控制列表予以全面檢查，如數(shù)據(jù)包可充分滿足要求便可操作，如數(shù)據(jù)包被拒絕，則淘汰。其次，進(jìn)入路由的數(shù)據(jù)包也可基于路由表的要求選擇指定路由，如路由無法順應(yīng)目標(biāo)網(wǎng)絡(luò)的基本要求，將直接被淘汰，如滿足要求則可將信息發(fā)送至網(wǎng)絡(luò)端口。

3 提升網(wǎng)絡(luò)路由器訪問安全性的方法

3.1 降低潛藏風(fēng)險(xiǎn)

第一，路由器的中小服務(wù)成為DOS攻擊的首選目標(biāo)，所以在日常管理中應(yīng)關(guān)閉路由器中的一些服務(wù)事項(xiàng)，降低DOS攻擊帶來的危險(xiǎn)。

第二，原路由在應(yīng)用中會(huì)使用數(shù)據(jù)鏈路層數(shù)據(jù)穿過網(wǎng)絡(luò)層，這會(huì)使一些不法分子利用輸入錯(cuò)誤信息的方式來改變?cè)酚芍噶?，?duì)此，需要切斷原路由，使用noipsource-route。

第三，禁止外部網(wǎng)絡(luò)對(duì)noipsource-route進(jìn)行重新定向處理。利用ICMP可對(duì)原有的路由器實(shí)施重新定向處理，進(jìn)而對(duì)路由設(shè)備予以跟蹤及訪問權(quán)限的設(shè)置，但這為不法分子提供了可乘之機(jī)，工作人員應(yīng)避免該類問題的產(chǎn)生。

第四，關(guān)閉noipproxy-arp功能。CISCO路由器局域網(wǎng)在缺口條件下會(huì)啟動(dòng)APP代理，雖然這對(duì)于保護(hù)路由器有很大的幫助，不過也存在較多問題，如不必要的主機(jī)通信，關(guān)閉noipproxy-arp功能。

3.2 Ping指令出現(xiàn)錯(cuò)誤提示信息

利用Ping排除故障時(shí)會(huì)存在較多的錯(cuò)誤信息，結(jié)合這些錯(cuò)誤信息完成問題的識(shí)別和處理，能夠更好的保證路由器訪問安全。Ping指令中的錯(cuò)誤信息及產(chǎn)生的故障問題包括：

一是無法識(shí)別IP地址。服務(wù)器故障、主機(jī)名錯(cuò)誤、管理員系統(tǒng)與主機(jī)間通信故障會(huì)導(dǎo)致IP地址無法識(shí)別。

二是requesttimeout連接超時(shí)，數(shù)據(jù)包丟失。該情況是由于路由器連接問題或與主機(jī)連接中斷造成的。

三是networkunreachable網(wǎng)絡(luò)無法達(dá)到。路由器配置出現(xiàn)問題，遠(yuǎn)程路由系統(tǒng)連接中斷。

3.3 服務(wù)器訪問控制

服務(wù)器作為信息資源共享及傳輸?shù)闹匾溃苋菀资艿讲《镜墓舳l(fā)生危險(xiǎn)。因此，為維護(hù)路由器的訪問安全，有必要做好服務(wù)器訪問控制，通過創(chuàng)建ACL加大對(duì)服務(wù)器非正常訪問下的控制力度，減少病毒侵害，增強(qiáng)數(shù)據(jù)傳輸及共享時(shí)的安全性。比如，控制各類型服務(wù)器數(shù)據(jù)的連接端口。WWW服務(wù)器的數(shù)據(jù)端口可以80號(hào)端口為主；DNS服務(wù)器數(shù)據(jù)流可以53號(hào)端口為主，而電子郵件的服務(wù)端口則可以80、25、110多端口為主。通過科學(xué)區(qū)分，來加強(qiáng)對(duì)服務(wù)器的科學(xué)管控，增大訪問安全系數(shù)。

4 結(jié)束語

綜上所述，訪問控制技術(shù)可有效加強(qiáng)路由器訪問的安全性，確保數(shù)據(jù)的高效傳輸及共享。不過該技術(shù)在使用過程中還存在較多問題及弊端，需要相關(guān)人員予以不斷分析和研究，逐漸完善防護(hù)系統(tǒng)及措施，提高網(wǎng)絡(luò)訪問的安全性，降低病毒或黑客攻擊的可能。此外，通過與網(wǎng)絡(luò)安全技術(shù)的有效融合，能夠在維護(hù)路由器網(wǎng)絡(luò)安全訪問的基礎(chǔ)上，為人們提供更多高質(zhì)量的服務(wù)內(nèi)容，以此擴(kuò)充路由器的使用范圍，促進(jìn)網(wǎng)絡(luò)的普及與覆蓋。