第八，我们要对配置实施管理，并监控配置的更改。用户应该实施控制存放、检索及更新路由器配置的配置管理策略，并将配置备份文档妥善保存在安全服务器上，以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。用户可以通过两种方法将配置文档存放在支持命令行接口（CLI）的路由器平台上。一种方法是运行脚本，脚本能够在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统；另外一种方法是在配置服务器到路由器之间建立IPSec隧道，通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前，制订详细的逆序操作规程。

　　用户在对路由器配置进行改动之后，需要对其进行监控。如果用户使用SNMP，那么一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的SNMP，如果不通过SNMP管理对设备进行远程配置，用户最好将SNMP设备配置成只读，拒绝对这些设备进行写访问，用户就能防止黑客改动或关闭接口。

此外，用户还需将系统日志消息从路由器发送至指定服务器，为进一步确保安全管理，用户可以使用SSH等加密机制，利用SSH与路由器建立加密的远程会话。为了加强保护，用户还应该限制SSH会话协商，只允许会话用于同用户经常使用的几个可信系统进行通信。配置管理的一个重要部分就是确保网络使用合理的路由协议，避免使用路由信息协议（RIP），RIP很容易被欺骗而接受不合法的路由更新，用户可以配置边界网关协议（BGP）和开放最短路径优先协议（OSPF）等协议，以便在接受路由更新之前，通过发送口令的MD5散列，使用口令验证对方。

　　最后，用户最好还是花点时间审阅你的安全记录。审阅你的路由器记录（通过其内置的防火墙功能）是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效，利用出网的记录，你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序，用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。

　　通过以上介绍的各种方法，我们已经将企业的网络的路由器武装了一遍，但从整个网络看，安全的隐患也不仅仅是某个设备的问题，整体的安全协调才是最重要的。

转载地址：http://article.pchome.net/content-108364.html