了解一些路由器故障维护的方法是很有帮助的。这里主要介绍校园网中常见的路由器故障维护方法。限制逻辑访问主要依靠访问控制列表的合理处理,限制远程终端会话有助于防止黑客获得对系统的逻辑访问。
SSH是首选的逻辑访问方法,但是如果无法避免Telnet,可以使用终端访问控制来限制对可信主机的访问。因此,用户需要向Telnet在路由器上使用的虚拟终端端口添加访问列表。
路由器故障维护:阻塞ICMP ping请求
控制消息协议(ICMP)有助于排除故障和识别正在使用的主机,这为攻击者提供了浏览网络设备、确定本地时间戳和网络掩码以及推测操作系统版本的信息。
因此,通过取消远程用户接收ping请求的响应能力,可以更容易地避免那些未被注意的扫描活动,或者防御那些寻找易受攻击目标的“脚本小子”。
路由器故障维护:关闭IP源路由
IP协议允许主机指定数据包通过网络的路由,而不是让网络组件来确定最佳路径。该功能的合法应用是诊断连接故障。但是,这种用法很少使用。事实上,它最常见的用途是镜像网络,用于侦察目的。
或者让攻击者在专用网络中找到后门。除非规定只能用于故障诊断,否则应关闭该功能。
路由器故障维护:监控配置更改
用户需要在更改后监控路由器配置。如果用户使用SNMP,一定要选择功能强大的常用字符串,最好使用提供消息加密的SNMP。如果设备不是通过SNMP管理远程配置的,
用户最好将SNMP设备配置为只读。通过拒绝对这些设备的写访问,用户可以防止黑客更改或关闭接口。此外,用户需要将系统日志消息从路由器发送到指定的服务器。
为了进一步确保安全管理,用户可以使用SSH和其他加密机制与路由器建立加密的远程会话。为了加强保护,用户还应该限制SSH会话协商,只允许会话用于与用户经常使用的几个可信系统进行通信。
路由器故障维护:地址过滤
在园区网络边界路由器上建立策略,根据IP地址过滤网络内外的安全违规行为。除特殊情况外,所有试图从网络内部访问互联网的IP地址都应该分配有一个LAN地址。举个例子,
192.168.0.1通过此路由器访问互联网可能合法。然而,216.239.55.99的地址很可能是欺骗性的,是攻击的一部分。恰恰相反,
来自互联网外部的通信源地址不应是内部网络的一部分。因此,地址192.168.X.X、172.16.X.X和10。X.X.X应该被屏蔽。最后,
应该允许带有源地址、保留地址和不可追踪目的地址的所有流量通过此路由器。这包括环回地址127.0.0.1或E类地址段。
在建设校园网时,只有选择合适的路由器,正确配置并采取相应的维护策略,才能使校园网畅通、安全、可靠,充分发挥校园网在学校管理和信息资源获取中的作用。
路由器故障维护:路由器工作原理
路由器通过识别不同网络的网络ID号来连接不同的网段或网络。路由器要识别另一个网络,首先要识别对方的网络ID,看是否与目的节点地址中的网络ID号一致。
如果是,则将其发送到该网络的路由器。接收方网络的路由器收到来自源网络的报文后,会根据报文中包含的目的节点IP地址中的主机ID号识别发送给哪个节点,然后直接发送。
