如何配置路由器是事關(guān)網(wǎng)絡(luò)安全的核心問題，在配置時(shí)，不僅要滿足其互聯(lián)互通的基本功能，更重要的是要融入一些基于網(wǎng)絡(luò)安全性的考慮，真正使其成為維護(hù)網(wǎng)絡(luò)安全的一道屏障。下面就將本人學(xué)習(xí)過程中一些基于安全性的考慮與大家共勉。
　　Cisco系列路由器一般有Consle Aux 和Ethernet口可登錄到路由器對(duì)其進(jìn)行配置，這為網(wǎng)絡(luò)管理員對(duì)其進(jìn)行管理提供了很大的方便，同時(shí)也給不速之客提供了可乘之機(jī)。為了拒不速之客于門外，應(yīng)該通過給相應(yīng)的端口加上口令實(shí)施最基本的安全控制。具體配置如下：
　　Cisco3640(config)#line vty 0 4
　　Cisco3640(config?line)#login
　　Cisco3640(config?line)#password xxxxxxx
　　Cisco3640(config)#line aux 0
　　Cisco3640(config?line)#login
　　Cisco3640(config?line)#password xxxxxxx
　　Cisco3640(config)#line con 0
　　Cisco3640(config?line)#password xxxxxxx
　　其次，對(duì)超級(jí)用戶密碼的設(shè)置成為拒不速之客于門外的第二道屏障，可以防止配置被修改，具體配置如下：
　　Cisco3640#conf term
　　Cisco3640(config)#enable ?secret xxxxxxx
　　有了這些配置，您起碼可以禁閉門戶，有效地防止不速之客的暗訪了。當(dāng)然，這只是眾多安全措施中最基本的一步，要想尋求全方位的安全防護(hù)還應(yīng)另找門路。有的放矢選擇限制。
　　若要在大量進(jìn)進(jìn)出出的信息中分清 "敵我"，還要在"濾包"的環(huán)節(jié)上做文章。所謂的包過濾，簡(jiǎn)而言之，就是拒絕含有非法IP的源或目的地址通過路由器的Serial或其他端口進(jìn)行某些非法訪問，同時(shí)讓合法的信息包無條件進(jìn)出。要實(shí)現(xiàn)這一步，Cisco系列路由器所支持的訪問列表功能可使你得心應(yīng)手。
　　首先舉例來說明基本訪問列表對(duì)源地址的控制，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示。
　　
　　
　　Cisco3640#config term
　　Cisco3640(config)#access?list
　　1permit ip 10.10.11.2
　　Cisco3640(config)#access
　　list 2 permit ip 9.123.45.2
　　Cisco3640(config)#access
　　list 3 permit ip 9.123.46.2
　　有了具體的訪問列表，還必須作用于相應(yīng)的物理端口才會(huì)起作用。即：
　　Cisco3640(config)#int e0/0
　　Cisco3640(config?if)#ip
　　access?group 1 in
　　Cisco3640(config)#int s0
　　Cisco3640(config?if)#ip
　　access?group 2 in
　　Cisco3640(config)#int s1
　　Cisco3640(config?if)#ip
　　access?group 3 in
　　這樣一來，對(duì)于一號(hào)路由器的以太網(wǎng)口來說，只有來自源地址為10.10.11.2的信息包（ 即PC1）才可以進(jìn)入此端口，通過路由器與外部進(jìn)行通信，而來自其他地址的信息包均被拒絕進(jìn)入。有了這一級(jí)防護(hù)，既切斷了"黑客"的后路，也明確了合法者的權(quán)限。很明顯，PC1局域網(wǎng)段內(nèi)除PC1外的其他PC機(jī)和服務(wù)器對(duì)于PC2 和PC3來說等同于不存在，他們是無法"看"到的。這樣就從另一側(cè)面增強(qiáng)了系統(tǒng)的安全性。
　　下面再看看擴(kuò)展訪問列表的相關(guān)應(yīng)用。
　　路由器所支持的擴(kuò)展訪問列表可以對(duì)目的地址、源地址和應(yīng)用程序端口等諸多因素進(jìn)行指定和限制，有針對(duì)性的對(duì)不安全因素進(jìn)行控制，全方位提高網(wǎng)絡(luò)的安全性。如下例：
　　Cisco3640#config term
　　Cisco3640(config)#access
　　?list 110 permit ip 10.10.11.2 9.123.45.2
　　Cisco3640(config)#access
　　?list 110 permit udp gt
　　1023 10.10.11.2 9.123.46.2 eq 53
　　Cisco3640(config)#access
　　?list 110 permit icmp any any eq echo?reply
　　Cisco3640(config)#access 111
　　deny tcp any 10.10.11.2 eq telnet
　　Cisco3640(config)#int e0/0
　　Cisco3640(config?if)#ip access?group 110 in
　　Cisco3640(config)#int s0/0
　　Cisco3640(config?if)#ip access?group 111 in
　　Cisco3640(config?if)#exit
　　Cisco3640(config)#exit
　　Cisco3640#
　　第一條配置只允許來自10.10.11.2,去往 9.123.45.2的IP包通過相應(yīng)端口。第二條配置允許使用客戶源端口方式的主機(jī)發(fā)往 9.123.46.2 地址且目的端口為 53的UDP報(bào)文通過。第三條配置允許作為Ping命令回應(yīng)請(qǐng)求的應(yīng)答報(bào)文通過相應(yīng)端口，而不限制源和目的地址。第四條配置將禁止任何到PC1的遠(yuǎn)程登錄。將這樣的訪問列表作用于相應(yīng)端口，提高了系統(tǒng)的安全性。但在使用訪問列表的時(shí)候應(yīng)該注意以下幾點(diǎn)。每一個(gè)訪問列表的最后都隱含著"Deny all"語(yǔ)句，這就意味著，如不做特殊考慮，除"Permit"條件允許的部分外，其他地址都被拒絕，這將使某些合法者也被拒絕。其次，除非使用命名訪問列表，在對(duì)列表進(jìn)行修改時(shí)，必須將原有列表刪除后重新建立，否則將毫無意義。最后，一定要注意列表中各表項(xiàng)的順序，因?yàn)樵L問列表采用順序匹配執(zhí)行的原則，一旦相關(guān)項(xiàng)得到匹配，其后的有關(guān)項(xiàng)將不再執(zhí)行，致使訪問列表不能完全生效。