免费注册 找回密码     

查看: 2802|回复: 0
打印 上一主题 下一主题

校园路由器故障维护的常见方法

[复制链接]

631

主题

631

帖子

631

积分

初级会员

Rank: 3Rank: 3Rank: 3

跳转到指定楼层
1
发表于 2012/3/13 22:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
 了解一些关于路由器故障维护的方法还是非常有帮助的,这里我们主要介绍校园网常见路由器故障维护方法。限制逻辑访问主要借助于合理处置访问控制列表,限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法,但如果无法避免Telnet,不妨使用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。 <BR><BR>  <B>路由器故障维护:封锁ICMP ping请求</B> <BR><BR>  控制消息协议(ICMP)有助于排除故障,识别正在使用的主机,这样为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。因此通过取消远程用户接收ping请求的应答能力,就能更容易的避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。 <BR><BR>  <B>路由器故障维护:关闭IP源路由</B> <BR><BR>  IP协议允许一台主机指定数据包通过你的网络路由,而不是允许网络组件确定最佳的路径。这个功能的合法应用是诊断连接故障。但是,这种用途很少得到应用,事实上,它最常见的用途是为了侦察目的对网络进行镜像,或者用于攻击者在专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。 <BR><BR>  <B>路由器故障维护:监控配置更改</B> <BR><BR>  用户在对路由器配置进行改动之后,需要对其进行监控。如果用户使用SNMP,那么一定要选择功能强大的共用字符串,最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置,用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问,用户就能防止黑客改动或关闭接口。 此外,用户还需将系统日志消息从路由器发送至指定服务器。 <BR><BR>  进一步确保安全管理,用户可以使用SSH等加密机制,利用SSH与路由器建立加密的远程会话。为了加强保护,用户还应该限制SSH会话协商,只允许会话用于用户经常使用的几个可信系统进行通信。 <BR><BR>  <B>路由器故障维护:地址过滤</B> <BR><BR>  在校园网边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的案例之外,所有试图从网络内部访问互联网的IP地址都应该有一个分配的局域网地址。例如,192.168.0.1通过这个路由器访问互联网也许是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。相反,来自互联网外部的通信的源地址应该不是内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。最后,拥有源地址的、保留的和无法路由目标地址的所有通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类地址段。 <BR><BR>  在组建校园网的时候,只有选择合适的路由器,经过正确配置和采用对应的维护策略后,才能使校园网网络流畅,安全可靠,充分发挥校园网在学校管理、获取信息资源等方面的作用。 <BR><BR>  <B>路由器故障维护:路由器工作原理</B> <BR><BR>  路由器是用来连接不同网段或网络的,其方法是通过识别不同网络的网络ID号进行。路由器要识别另一个网络,首先要识别对方的网络ID,看是不是与目的节点地址中的网络ID号相一致。如果是就向这个网络的路由器发送,接收网络的路由器在接收到源网络发来的报文后,根据报文中所包括的目的节点IP地址中的主机ID号来识别是发给哪一个节点的,然后再直接发送。
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

QQ|Archiver|兴宁A8 ( 粤ICP备17110913号 粤公网安备44140202000139号)  

GMT+8, 2024/11/20 11:22

© 兴宁A8

手机绑定 兴宁A8支持手机、电脑、平板一站式访问!

快速回复 返回顶部 返回列表