本文主要從網(wǎng)絡(luò)基礎(chǔ)設(shè)備的問題，定期升級系統(tǒng)，思科路由器的使用等方面詳細(xì)的介紹了如何理解思科路由器的技術(shù)。相信你看完之后會有所幫助。

這兩種工具使連接到網(wǎng)絡(luò)上的設(shè)備之間以及其它網(wǎng)絡(luò)相互通信。雖然路由器和交換機看起來很像，但是它們在網(wǎng)絡(luò)中的功能卻截然不同：交換機主要用于將一棟大廈或一個校園里的多臺設(shè)備連接到同一個網(wǎng)絡(luò)上。路由器主要用于將多個網(wǎng)絡(luò)連接起來。首先，路由器會分析網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)，改變數(shù)據(jù)的打包方式，然后將數(shù)據(jù)發(fā)送到另一個網(wǎng)絡(luò)上或者其他類型的網(wǎng)絡(luò)上。

它們將公司與外界連接起來，保護信息不受安全威脅，甚至可以決定哪些計算機擁有更高的優(yōu)先級。系統(tǒng)管理員和安全專家經(jīng)常花費大量的精力配置各種防火墻、Web服務(wù)器和那些組成企業(yè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備。但是，他們經(jīng)常會忽略路由器和交換機。這經(jīng)常會導(dǎo)致黑客監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包、修改路由和其他一些惡意攻擊行為。本文對Cisco路由器和交換機技術(shù)應(yīng)用進行分析和探討。

1.網(wǎng)絡(luò)基礎(chǔ)設(shè)備的問題

盡管很多攻擊的目標(biāo)是終端主機——如web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器，許多用戶忽略了網(wǎng)絡(luò)基礎(chǔ)設(shè)備的安全問題。路由器和交換機不僅可以被攻擊還可以作為黑客進行攻擊的工具，還是黑客收集有用信息的合適設(shè)備。Cisco路由器和交換機有自己的操作系統(tǒng)，或者被稱為CiscoIOS(網(wǎng)絡(luò)操作系統(tǒng))。同其他操作系統(tǒng)一樣，早期的版本有許多漏洞，如果用戶沒有升級，會帶來很多問題。

從應(yīng)用的角度看，路由器和交換機不僅可以作為攻擊目標(biāo)，還可以幫助黑客隱瞞身份、創(chuàng)建監(jiān)聽設(shè)備或者產(chǎn)生噪音。例如，很多Cisco交換機可以創(chuàng)建一個監(jiān)視端口來監(jiān)聽交換機的其他端口。這樣管理員和黑客就可以把交換機上看到的網(wǎng)絡(luò)數(shù)據(jù)包備份到一個指定的交換機端口。盡管管理員努力在系統(tǒng)中杜絕集線器造成的監(jiān)聽問題，但是如果黑客可以通過交換機訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)安全便面臨危險。

2.定期升級系統(tǒng)

任何系統(tǒng)都必須注重及時升級。Cisco公司一直注重IOS在版本更新、升級與發(fā)布策略，且Cisco公布的系統(tǒng)版本相對穩(wěn)定。分析網(wǎng)絡(luò)基礎(chǔ)設(shè)備時要做的第一件事情就是調(diào)查在系統(tǒng)上運行的各種IOS系統(tǒng)的情況。使用ShowVersion命令可以方便地查到這些信息。如果用戶發(fā)現(xiàn)系統(tǒng)中有的10S系統(tǒng)版本比較老，在進行升級前最好與升級所花費的精力和金錢比較一下，考慮一下“如果沒有問題，不需要升級”這句話。比IOS系統(tǒng)版本更重要的是這個版本是否已超過了使用周期。Cisco定義了三種階段：

早期開發(fā)階段(EarlyDeployment，ED)。這個時期的10S系統(tǒng)有一些還不成熟的新特性，會有許多毛病。局部開發(fā)階段(LimitedDeployment，LD)。處于這個狀態(tài)的IOS主要是針對ED系統(tǒng)中漏洞而進行改進的版本。普通開發(fā)階段(GeneralDeployment，GD)。這個階段的IOS系統(tǒng)更強調(diào)系統(tǒng)的穩(wěn)定性，基本上沒有漏洞。盡管用戶都希望使用最新的I0S系統(tǒng)，但我還要提醒用戶注意自己的實際需求，GD版本將指出系統(tǒng)的大量已經(jīng)發(fā)現(xiàn)的漏洞，通常是一個已經(jīng)解決了發(fā)現(xiàn)的漏洞的版本。除非發(fā)現(xiàn)此版本的系統(tǒng)有很嚴(yán)重的漏洞這別無選擇，只有升級。

3.配置Cisco路由器

Cisco路由器在主機級上比UNIX系統(tǒng)容易保護，這是因為系統(tǒng)提供的可遠(yuǎn)程訪問的服務(wù)較少。路由器要進行復(fù)雜的路由計算并在網(wǎng)絡(luò)中起著舉足輕重的作用，它沒有BIND、IMAP、POP、sendmail等服務(wù)——而這些是UNIX系統(tǒng)中經(jīng)常出問題的部分。盡管訪問路由器的方式相對少一些，但是還要進行進一步的配置以限制對路由器更深一步的訪問。

大多數(shù)Cisco 路由器還是通過遠(yuǎn)程登錄方式進行控制的，沒有采用任何形式的加密方法。采用遠(yuǎn)程登錄方式進行的通信都是以明文傳輸，很容易泄露登錄口令。盡管CiscoIOS12.1采用了SSHl的加密手段，仍然存在很多問題。在Cisco公司考慮使用SSH之前(希望他們采用SSH2版本)，用戶都只能使用Telnet。但是，還是有很多方法可以控制對路由器的訪問，從而限制非授權(quán)用戶對路由器的訪問。登錄到路由器的方式有：通過物理控制臺端口;通過物理輔助端口;通過其他物理串行端口(僅指在具有端口的模型上);通過遠(yuǎn)程登錄方式進入一個單元的IP地址中。前三種方式需要物理接口，這樣很容易控制。下面主要討論第四種方式。

Cisco路由器有5個可以遠(yuǎn)程登錄的虛擬終端或稱為vty。采用遠(yuǎn)程登錄時要注意兩點。首先，要確認(rèn)通過所有的vty登錄都需要口令。配置時可以采用如下命令：

Router1(config)#linevty04

Router1(config)#passwordfabi0!

這樣通過vty登錄時需要輸人口令“fabi0!”。其次，用戶可以增加控制級別來防止黑客的入侵，可以同時綁定5個vty。具體的命令如下：

Router1(config)#linevty04

Router1(config-line)#exec-timeout1

Router1(config-line)#exit

Router1(config)#servicetcp-keepalives.in

這些命令設(shè)置vty的時間限制為1分鐘，限制TCP連接的時間長度。除了上述命令，用戶還可以設(shè)置標(biāo)準(zhǔn)的訪問列表以限制可以遠(yuǎn)程登錄到路由器本身內(nèi)的工作站的數(shù)量。例如，假定系統(tǒng)的管理網(wǎng)段是10.1.1.0，你將被遠(yuǎn)程登錄的地方，下列命令可以限制對該范圍內(nèi)的進站遠(yuǎn)程登錄會話的數(shù)量，命令如下：

Router1(config)#access-list1permit10.1.1.00.0.0.255

Router1(config)#access-list1denyany

Router1(config)#linevty04

Router1(config.line)#access-class1in

說到考慮物理訪問，有兩點要注意：控制臺端口和輔助管理端口，輔助端口是為通過調(diào)制解調(diào)器等設(shè)備訪問路由器而設(shè)置的，對這個端口進行保護很重要。cCisco 路由器可以通過如下命令:

Router1(config)#lineaux0

Router1(config.line)#passwordfabi0!

Router1(config)#lineconsole0

Router1(config.line)#passwordfabi0!

 【編輯推薦】

1. 常用思科路由器密碼恢復(fù)經(jīng)典案例
2. 思科路由器口令恢復(fù)辦法全解
3. 思科路由器安全性管理
4. cisco路由器配置ACL詳解
5. cisco路由器啟動進程