1.引言
随着Internet的快速发展和校园网工程的日益推广,越来越多的学校在网络上建立网站来进行资源共享和扩大知名度,这样,网络上的安全问题就显得日益突出。许多学校都安装了防火墙来保证网络服务器的安全,却往往忽视了最前沿的“卫士”——路由器。在网络上,一旦有人恶意进入我们的路由器,将对校园网网络安全产生极大的威胁。
路由器可以看作是一台具有CPU、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信。所以,路由器的配置是否正确和安全对网络的通畅和安全起着举足轻重作用。我院使用的是Cisco 3640路由器,下面笔者就以Cisco路由器为例,谈谈路由器的安全配置。
2.路由器的安全配置方法和步骤
Cisco路由器中的操作系统叫做互连网络操作系统(Internet Operating System),或简称为IOS,对Cisco路由器的配置可以通过手工使用连接到控制端口的终端或者利用Telnet会话等方式进行配置,常用的是利用Console口进行配置,将Cisco自带的配置线和一台计算机的COM口连接好,在Windows 95/98或Windows NT/2000/XP中的超级终端进行连接,步骤如下。
2.1 新建连接
在超级终端中新建连接,在连接时使用下拉式菜单,选择直连串口连接1(或者直连串口连接2),在COM1口的属性页中点击“还原默认设置”按钮,将波特率设置为9600bps,数据位8位,奇偶校验位无、停止位1,确定即可,如图所示。
 |
2.2 一般配置注意事项
确认之后,进入超级终端的控制窗口,这时我们就可以利用这个连接对路由器进行一般配置。如果路由器是第一次打开电源,路由器将会进入到初始化配置对话,这时可根据提示一步步地对路由器进行配置。配置时请注意输入的enable password和virtual terminal password,这两个密码将对路由器安全举足轻重。enable password是进入特权模式的口令,virtual terminal password是通过虚拟终端(Telnet访问)时的密码。
2.3 安全配置方法和步骤
为了保证路由器的安全,我们在路由器中建立用户,并且设置进入密码和虚拟终端密码,详细步骤如下。
Router > //进入到特权模式下
Router >enable
Password: //进入到全局模式下
Router #config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router (config)#hostname MWrouter //给路由器起一个名字
Router (config)#enable password XYW //将enable的密码设置为XYW
MWrouter (config)#username xj password lcz //在路由器中建立用户名称为xj密码为lcz
MWrouter (config)#line con 0 //配置Console口
MWrouter (config-line)#login local //用路由器中的用户名和密码登录
MWrouter (config-line)#flowcontrol hardware
MWrouter (config-line)#end
MWrouter (config)#line vty 0 4 //配置远程登录虚终端0-4
MWrouter (config-line)#login local //用路由器中的用户名和密码登录
MWrouter (config-line)#end
MWrouter (config)#end
MWrouter #write //将刚才的设置存盘
配置完成之后,我们可以用终端Telnet远程登录到路由器来测试一下,可以看到远程登录到这台路由器和进入特权模式既需要用户名,又需要密码,这显然比只输入密码多了一层安全防护。
3.结束语
路由器是校园网与Internet连接的重要关口,它的配置安全与否,直接影响网络通信和资源共享。我们通过在路由器中配置用户名和密码登录实现对其安全管理是一种行之有效的办法,另外,还可以通过设置访问控制列表的方法限制远程登录到路由器的IP地址,将近一步增强了路由器的安全性。
参 考 文 献
[1] Cisco IOS 12.0参考库综合服务应用技术·北京希望电子出版社
[2] Cisco IOS网络安全·人民邮电出版社·2001.1
