路由器作为网络层最重要的设备,它的安全性是众多网管所关注的,笔者在这里只是从治理的角度来谈谈如何提高它的安全性。在治理路由器时,我们一般都是利用Telnet命令,通过路由器的vty端口远程进行治理,这本身就存在安全漏洞,任何一个客户端都可以猜测你的密码,或者利用暴力工具进行远端破解。假如我们只答应某个网段或者某个IP地址进行远程治理,其他机器不答应远程登录,这样将大大增强路由器的安全性。下面笔者就以Cisco路由器为例介绍一下其配置方法。
首先在全局模式下创建访问控制列表:
router(config)#Access-list 3 permit host 192.168.9.17
只答应192.168.9.17这台机器访问,隐含条件就是禁止其他机器访问。
接下来将这条规则应用到vty端口:
router(config)#line vty 0 4
router(config-line)#access-class 3 in
将规则应用到vty的0~4端口,这里可以自己定义。
经过这样的配置后,路由器就只答应192.168.9.17这台机器来访问了,其他机器没有访问权限。但我们在治理上就不那么灵活了,只能用固定的机器来治理,所以我们应该在治理和安全性方面找到一个平衡点,使路由器既易于治理又保证安全,比如可以答应某个网段进行治理。