如果把企业的计算机网络看作是一个食物链的话,路由器处于这个链的顶端。网络中的不同设备其功能是不同的。客户端请求数据,服务器提供信息,交换机将客户端和服务器连接到一起。但却是路由器管理着网络。因此维护好路由器并保证其安全性是至关重要的,下面谈一下怎样采取措施维持路由器的安全性。
管理路由器从你怎样配置它们开始。如果你没有一个作为基准的配置文档来告诉你怎样具体配置你的路由器,你就需要创建一个。
如果你需要帮助,可以访问National Security Agency''s guidelines(http://www.nsa.gov/snac/downloads_all.cfm) 。在这里,你可以得到一些内容广泛的指南,这些指导信息可以提供一个非常好的开始点。
创建和为路由器编制文档会在安全地管理路由器的配置方面为你提供最关键的步骤:安全地装载并存储初始的基准配置是基本要素。
理想情况下,你应该从一个控制台执行初始的配置并将其存储在一个网络驱动器上。最重要的是,不要将其存储在便携式电脑的本地驱动器上。移动计算设备(也就是说,便携式电脑,PDA设备,存储卡等)很易被窃取或丢失,这会损害整个网络的完整性和功能性。
在你装载了配置以后,下一步就是使运行配置与启动配置保持同步。但不要认为一旦路由器启动完成并可在网络上运行就万事大吉了,你需要维护这个配置并定期修改。
有一些管理人员喜欢在线修改,而另一些喜欢脱机修改,然后装载此配置。两者各有益处。
若在线修改,你可以获得即时反馈并能进行语法检查。举例来说,如果你拼错了命令,路由器会发出警告。此外,如果你对路由器作了修改,但却引起了网络故障,你就会立即了解这一点。
另一方面,如果你进行脱机修改,你就可以添加评论并能够使用路由配置编辑器。然而,此方法并不提供语法检查或对修改的反馈。
如果你决定使用脱机配置,确保使用安全的配置传输协议。简单文件传输协议(TFTP)并不是一个推荐的配置传输方法。只要你想配置用户名或口令,文件传输协议(FTP)或者安全复制协议(secure copy protocol)是传输新配置数据的最安全方法。
不管你怎样管理你的路由器配置更新,最基本的一条是你要保存每一次配置并为所有的修改编制文档资料。这允许你以及其他人能够更好地理解这些修改,并能够在出现故障时检查这些修改。
注意:
配置的数据有可能泄漏并有可能进入到他人之手。为防止这样的事件发生,千万不要将路由器的配置信息存储到可移动媒体上。要将其存储在一个网络驱动器的安全文件夹中,此文件夹的安全性用恰当的访问权限来保障。
=============================================
参考文章:David Davis 《Prevent IP spoofing with the Cisco IOS》