路由器和交換機在當今企業網絡組建中，已是必不可少的組成部分，作為網絡中的最主要設備之一，其安全配置和優化顯得十分重要。主要從以下幾個方面對其進行安全管理。

控制通過交換機或路由器入侵

控制對交換機或路由器的入侵

控制交換機或路由器的管理員訪問權限

路由器和交換機的物理防護

1.1路由器的安全管理

從嚴格的意義上講，路由器本身就是一臺具備特殊使命的電腦，通常來說，攻擊者攻擊路由器的手法與襲擊網上其他計算機的手法大同小異。

我們可以通過下列五種方法配置路由器。

（1）通過console口接終端或運行終端仿真軟件的計算機。

（2）通過aux可連接modem，通過電話線與遠方的終端或運行終端仿真軟件的計算機相連。

（3）通過網絡中的TFTP服務器。

（4）通過Telnet程序。

（5）通過網絡中的snmp網管工作站。

通過以上方法可以方便的配置路由器，但同時也留下了安全隱患，一般來講，針對路由器的攻擊主要分為以上兩種類型。

(1)通過某種手段或路徑獲取管理權限，直接侵入到系統的內部。

(2)采用遠程攻擊的辦法，造成路由器崩潰死機或是運行效率顯著下降。

相對而言，前者的難度要大一些。

所以路由器的安全問題可以從下面著手解決:

1.阻止非必要的數據流

從因特網進入路由器的傳入數據流來自未知的不受信任的用戶，這些用戶要求訪問企業內部的web服務器，可以使用訪問控制列表acl讓這些用戶只能訪問一組特定的ip地址和端口號。并限制這些用戶無法訪問其他端口號或ip地址。

例如，我們可以在路由器上的廣域網接口上啟用擴展acl，實現對外部icmp報文回顯的屏蔽，能夠有效防止攻擊者通過相關的回顯內容搜集到路由4器的相關信息，下列語句可實現該設置。

router(config)#access-list 101 deny icmp any 202.100.2.1 0.0.0.255 echo

router(config)#access-list 101 permit any any

router(config-if)#ip access group 101 in

cisco路由器和交換機使用專用協議--cisco發現協議cdp來發現鄰居的cisco設備的相關信息,此協議安全性能薄弱，因此在邊界路由器中絕對禁用cdp，可能還需要根據管理軟件的要求在內部路由器和交換機中禁用該協議。下列為禁用該協議的語句。

router(config)#no cdp run

router(config-if)#no cdp enable

2.加強管理和訪問控制

(1)應用強密碼策略

不管是enable口令，telnet口令，還是其他的口令，在設置時應盡可能的使用強密碼策略，創建口令時一定要混合使用大小寫、數字和符號，并對其進行加密，并且要啟用server password-encryption命令。

router(config)#server Password-encryption

router(config)#enable secret password

(2)控制遠程訪問與控制臺訪問

要嚴格控制對路由器vty的訪問，如果不需要遠程訪問則禁止他，如果需要則一定要設置強壯的密碼。由于vty在網絡的傳輸過程中數據是不加密的，所以需要對其進行嚴格的控制。

如:設置強壯的密碼，控制連接的并發數目，采用訪問控制列表，嚴格控制訪問的地址。可以通過命令exec-time 10來確保會話在未用狀態超過十分鐘后被關閉。下列為實現該設置的語句。

router(config)#line vty 0 15

router(config-line)#login

router(config-line)#password password

router(config-line)#exec-timeout 10

嚴格控制對console端口與aux端口的訪問，為console端口設置高強度密碼，aux端口默認是開啟的。如果不啟用關閉它，實現語句如下:

router(config)#line con 0

router(config-line)transport input none

router(config-line)#password password

router(config)#line aux 0

router(config-line)#transport input none

router(config-line)#no exec

(3)關于基于web的配置

Cisco在iOS版本中加入了可以通過web方式來管理路由器的特性。這對于不熟悉cisco設置的人來說，無疑是一件方便的事情。但在引入了方便管理的同時，安全隱患也隨之產生，如果啟用了web管理方式，很容易繞過用戶認證或者遭遇dos攻擊。因此，管理員應當禁止web配置，禁止web管理非常簡單，只需下面語句即可。

router(config)#no ip http server

3.關閉其他不必要的服務

在已部署的路由器中，每個已打開的端口都與一個偵聽服務相關聯。為了降低攻擊的可能性，必須關閉不必要的默認服務，例如bootb和dns服務做很少使用。還應掃描路由器都打得開哪些端口，把不必要的端口給關掉，下列語句可實現該設置。

router(config)#no ip domain-lookup

router(config)#no ip bootp server

router(config)#no snmp-server

router(config)#no snmp-server community public RO

router(config)#no snmp-server community admin RW

4.定期審查和查看日志

大多數的路由器都有日志功能，日志功能可記錄所有被拒絕的有入侵企圖的操作，應養成定期備份和查看日志的好習慣。利用路由器的日志功能對于安全來說是十分重要的，cisco路由器支持如下的日志。

(1)AAA日志:主要收集關于用戶波路連接，登陸，http訪問權限變化等信息。這些日志用tacacs+radius協議送到認證服務器幣并本地保存下來。

(2)SNMP Trap日志:發送系統狀態的改變到sn mp管理工作站。在網絡管理工作站上啟用smap trap監視鏈路的拓補改變,當路由器上的一條鏈路斷開的時候，網絡管理工作站就能接受到鏈路改變trap信息。

(3)系統日志:根據配置記錄大量的系統事件，并可以將這些日志發送到下列地方。

控制臺端口

syslog服務器

這里我最關注的就是系統日志，默認的情況下，這些日志被送到控制臺端口。通過控制臺監視來觀察系統的運行情況，但是這種方式信息量小，且無法記錄下來供以后查看。下面語句為通過Show命令來查看系統當前正在運行的情況。

router#show configuration

router#show running-config

建議使用syslog服務器，將路由器日志信息發送到linux或windows下的syslog日志服務器長期保存下來以后查看。

1.2交換機的安全管理

交換機在內部網絡中占有重要的定位，通常是整個內部網絡的核心所在。交換機實際是一個為轉發數據包優化的計算機，是計算機就有被攻擊的可能，比如非法獲取交換機的控制權，導致網絡癱瘓，另一方面也會受到DOS攻擊，但與路由器相比，交換機的安全性常被忽視。其實為路由器定義的許多安全概念同樣適用于交換機。

1.修補程序和更新

必須盡早安裝和測試修補程序的更新。

2.使用管理訪問控制系統

使用與路由器相同的方法來控制交換機的管理訪問。

3.禁用未使用的端口

為了防止攻擊者接入未使用的端口，應禁用交換機中未使用的以太網端口。

4.關閉危險服務

確保所有未使用的服務都已禁用，確保禁用http。

5.利用vlan技術

vlan可以分隔網段，不同vlan之間的通信必須通過網絡層的路由來完成，否則，即便是同一交換機上的端口。假如他們不處于一個vlan，則絕對無法進行數據通信。同時利用acl來保護交換機以及限制vlan之間的數據流，使用vlan之間的acl可對來自內部的入侵提供直接的保護。