路由器是网络互联的重要桥梁，是网络系统中不可或缺的重要部件，也是网络安全的前沿关口。若路由器连自身的安全都没有保障，那整个网络也就毫无安全可言。因此在网络安全管理上，必须对路由器进行合理配置、管理，采取必要的安全保护措施，避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。本文介绍如何通过对路由器的规范配置，来达到路由器自身的安全，最终保障全网安全的想法。

　　划分路由器配置平面，提高配置的规范性

　　规范配置必须对全网中的全部路由器的多个配置层面进行规范。我们将路由器的配置层面划分为3个平面：数据平面、控制平面和管理平面。数据平面指被路由器转发的数据；控制平面主要是OSPF、BGP等网络互连的协议数据；管理平面指SSH、SNMP、NTP等用于管理路由器的协议数据。数据平面受到的威胁主要是带宽的消耗，在管理平面和控制平面受到的威胁主要会造成设备入侵和CPU利用率的过载。

　　规范管理平面的配置，提高路由器管理权的安全

    首先要确保路由器的控制权不被非法使用，为此需先确定管理边界，再确定管理边界内哪些主机允许对路由器进行管理；对于允许管理的主机，在进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。对于允许对路由器进行管理的人员根据不同的管理权限需赋予相应的访问权限。其次要保证路由器发生异常时，能提供充分信息，以便在最短的时间内消除。

　　1 路由器的命名规范

　　路由器的名称应该具有较强可读性和一致性。端口说明是为了便于维护、增加配置文件的可读性，对于互联端口，必须进行规范描述。对于Loopback端口，其描述规则基本上是接口的功能描述。对于VPN的命名、控制列表的命名也需采用统一的规范。

　　2 路由器的Loopback地址使用

　　由于路由器接口众多，通过定义Loopback地址，为网络协议或者网管提供基础地址，可以提高路由器自身的安全。

　　3 登录安全

　　登录路由器有多种方法，应尽可能采用SSH登录，并利用控制列表和登录超时时间在登录线程中加以限制，在复杂的网络环境中，还可考虑采用基于上下文控制列表或动态控制列表的方式实现安全登陆。登录后需要配置提示信息，警示非法登录者。

　　4 利用AAA认证对密码及操作权限进行管理

　　对登录用户采用AAA集中认证。通过鉴别功能，可轻松地做到周期性修改口令。利用授权功能可以提高现网安全管理的水平。在对采用集中认证的网络设备进行分层分权限管理后，通过授权功能授予不同登陆账号的不同访问设备分组、不同的操作命令权限。通过审计功能所收集、记录的用户对网络资源使用情况，可极大提高事后分析能力。

　　5 配置SYSLOG和NTP

　　对于日常网络管理和维护时，设备的告警信息具有很强的参考价值，通过日志中的告警信息能判断问题发生的原因。网络设备自身保存的日志文件都比较小，当产生告警信息比较多时，有用的信息可能会溢出。需要增加一台SYSLOG服务器，将所有网络设备的告警信息输出到该服务器，以保证日志信息的集中管理。在网络设备上配置SYSLOG需要注意的是日志的时间戳更改为标准显示格式，设备发送日志的地址为该设备的Loopback地址。为便于故障的分析处理，路由器的时间配置使用NTP协议。

　　6 配置SNMP

　　SNMP广泛应用在路由器的监控、配置方面。利用访问列表仅仅允许来自特定工作站的SNMP访问和只开启只读功能来提升sNMP服务的安全性能，尽可能使用SNMP V3版本。

　　7关闭不必要的服务

　　与大多数操作系统一样，路由器的操作系统缺省情况下也开启很多服务，这些服务可能会引起潜在的安全风险，解决的办法是按最小特权原则，关闭不需要的服务，如关闭重定向；禁用IP源路由；禁用“Internet消息控制协议”(ICMP)主机未达消息；禁用http服务；禁用代理“地址解析协议”(ARP)等等。

　　加固控制平面，提升路由协议的安全

　　路由器的控制平面安全具体有路由协议安全、路由过滤、减少路由震荡影响等。

　　1 路由协议安全

　　首先启用不同协议需进行相应的配置，如启用OSPF路由协议时，必须定义Router-id；修改系统参考带宽；修改以太网互联端口类型；将所有端口默认设置为Passive被动端口，仅将需要和其他路由器交换路由的端口设置为NO—passive；配置OSPF MD5加密认证；OSPF路由重分布配置TYPE—1路由，同时接收无类路由；配置OSPF邻居变化日志。其次，在任何需要进行路由重分布时候，必须进行路由过滤，并且尽量进行精确路由过滤，或者通过事先做好的标记(TAG)进行控制，同时对于注入的路由手动设置相应的metric值。最后，需对进入CPU的流量进行分类，并进行相应的流量限制，只允许合理的流量(如路由协议、路由更新、ARP、ICMP、Netflow、Syslog、SNMP等)进入CPU，并限制在一定的速率以下，避免因受到Denial of service攻击而造成路由器的CPU升高直至宕机。

　　2 路由过滤

　　通过对内部路由器IP地址的合理规划，在路由器上特别是在边界路由器上进行有效的路由过滤，确保路由表简洁、有效。

　　3 减少路由震荡影响

　　造成路由震荡的原因是多方面的，结果会导致某些路由在设备的路由表里面消失—出现—消失—出现—消失。网络中的很多设备会因此发生路由震荡，白白的消耗大量的处理器时间。为减少路由震荡带来的影响应从几个方面入手规范配置：路由区域划分、减少边界路由重分布、边界路由汇总、路由惩罚等。

　　完善数据平面，确保数据传送的安全

　　数据平面容易受到各式各样形式的攻击，例如针对带宽消耗的碎片攻击、smurf攻击、IP snooping攻击、TCP SYN-flooding攻击、组播DOS攻击等。采用的方法主要是：实施ICMP限速、配置URPF逆向路径检测、采用TCP Intercept等。

　　结束语

　　路由器的规范化配置是网络安全的一个重要组成部分，应实施到全网中的每个路由器上。希望本文能起到抛砖引玉的作用，对同行做好信息网的安全工作有所帮助。