配置Cisco路由器的安全考虑
2008-04-22   

　　如何配置路由器是事关网络安全的核心问题，在配置时，不仅要满足其互联互通的基本功能，更重要的是要融入一些基于网络安全性的考虑，真正使其成为维护网络安全的一道屏障。下面就将本人学习过程中一些基于安全性的考虑与大家共勉。
　　Cisco系列路由器一般有Consle Aux 和Ethernet口可登录到路由器对其进行配置，这为网络管理员对其进行管理提供了很大的方便，同时也给不速之客提供了可乘之机。为了拒不速之客于门外，应该通过给相应的端口加上口令实施最基本的安全控制。具体配置如下：
　　Cisco3640(config)#line vty 0 4
　　Cisco3640(config?line)#login
　　Cisco3640(config?line)#password xxxxxxx
　　Cisco3640(config)#line aux 0
　　Cisco3640(config?line)#login
　　Cisco3640(config?line)#password xxxxxxx
　　Cisco3640(config)#line con 0
　　Cisco3640(config?line)#password xxxxxxx
　　其次，对超级用户密码的设置成为拒不速之客于门外的第二道屏障，可以防止配置被修改，具体配置如下：
　　Cisco3640#conf term
　　Cisco3640(config)#enable ?secret xxxxxxx
　　有了这些配置，您起码可以禁闭门户，有效地防止不速之客的暗访了。当然，这只是众多安全措施中最基本的一步，要想寻求全方位的安全防护还应另找门路。有的放矢选择限制。
　　若要在大量进进出出的信息中分清 "敌我"，还要在"滤包"的环节上做文章。所谓的包过滤，简而言之，就是拒绝含有非法IP的源或目的地址通过路由器的Serial或其他端口进行某些非法访问，同时让合法的信息包无条件进出。要实现这一步，Cisco系列路由器所支持的访问列表功能可使你得心应手。
　　首先举例来说明基本访问列表对源地址的控制，网络拓扑结构如下图所示。
　　
　　
　　Cisco3640#config term
　　Cisco3640(config)#access?list
　　1permit ip 10.10.11.2
　　Cisco3640(config)#access
　　list 2 permit ip 9.123.45.2
　　Cisco3640(config)#access
　　list 3 permit ip 9.123.46.2
　　有了具体的访问列表，还必须作用于相应的物理端口才会起作用。即：
　　Cisco3640(config)#int e0/0
　　Cisco3640(config?if)#ip
　　access?group 1 in
　　Cisco3640(config)#int s0
　　Cisco3640(config?if)#ip
　　access?group 2 in
　　Cisco3640(config)#int s1
　　Cisco3640(config?if)#ip
　　access?group 3 in
　　这样一来，对于一号路由器的以太网口来说，只有来自源地址为10.10.11.2的信息包（ 即PC1）才可以进入此端口，通过路由器与外部进行通信，而来自其他地址的信息包均被拒绝进入。有了这一级防护，既切断了"黑客"的后路，也明确了合法者的权限。很明显，PC1局域网段内除PC1外的其他PC机和服务器对于PC2 和PC3来说等同于不存在，他们是无法"看"到的。这样就从另一侧面增强了系统的安全性。
　　下面再看看扩展访问列表的相关应用。
　　路由器所支持的扩展访问列表可以对目的地址、源地址和应用程序端口等诸多因素进行指定和限制，有针对性的对不安全因素进行控制，全方位提高网络的安全性。如下例：
　　Cisco3640#config term
　　Cisco3640(config)#access
　　?list 110 permit ip 10.10.11.2 9.123.45.2
　　Cisco3640(config)#access
　　?list 110 permit udp gt
　　1023 10.10.11.2 9.123.46.2 eq 53
　　Cisco3640(config)#access
　　?list 110 permit icmp any any eq echo?reply
　　Cisco3640(config)#access 111
　　deny tcp any 10.10.11.2 eq telnet
　　Cisco3640(config)#int e0/0
　　Cisco3640(config?if)#ip access?group 110 in
　　Cisco3640(config)#int s0/0
　　Cisco3640(config?if)#ip access?group 111 in
　　Cisco3640(config?if)#exit
　　Cisco3640(config)#exit
　　Cisco3640#
　　第一条配置只允许来自10.10.11.2,去往 9.123.45.2的IP包通过相应端口。第二条配置允许使用客户源端口方式的主机发往 9.123.46.2 地址且目的端口为 53的UDP报文通过。第三条配置允许作为Ping命令回应请求的应答报文通过相应端口，而不限制源和目的地址。第四条配置将禁止任何到PC1的远程登录。将这样的访问列表作用于相应端口，提高了系统的安全性。但在使用访问列表的时候应该注意以下几点。每一个访问列表的最后都隐含着"Deny all"语句，这就意味着，如不做特殊考虑，除"Permit"条件允许的部分外，其他地址都被拒绝，这将使某些合法者也被拒绝。其次，除非使用命名访问列表，在对列表进行修改时，必须将原有列表删除后重新建立，否则将毫无意义。最后，一定要注意列表中各表项的顺序，因为访问列表采用顺序匹配执行的原则，一旦相关项得到匹配，其后的有关项将不再执行，致使访问列表不能完全生效。