12、路由器安全防护全攻略

路由器安全防护全攻略

1. 网络环境与安全威胁

在互联网中，路由器是负责流量分配的主要设备，无论是电子邮件、文档、视频还是垃圾邮件等各类流量，都依赖路由器进行传输。过去，网络路由器的速度限制了流量传输速率，但近十年来，Juniper推出了具备线速接口的路由器，接口速度大幅提升，包括更快的SONET/SDH和以太网接口。

这种进步使得网络流量，无论好坏，都能在互联网上快速移动。然而，这也带来了安全隐患，黑客若控制了未安全配置或配置不当的路由器，就可能对网络造成严重破坏，将路由器作为发起拒绝服务攻击等各类攻击的跳板。

2. 基础物理安全措施

保障路由器安全的基础方法之一是限制对其的物理访问。这能防止有人意外或故意关闭路由器，或者移除、更换连接到路由器的电缆和电源线。此外，拥有路由器物理访问权限的人可以连接到其控制台端口，如果有人成功以root用户身份登录，就能完全控制路由器，执行任何命令并修改配置。

为实现路由器的物理隔离，可将其放置在访问受限的区域，如带锁的房间或需要刷卡进入的房间，并限制该区域的访问人员数量。

3. JUNOS默认安全特性

JUNOS软件具备一系列有助于路由器安全的默认行为，这些行为在完成路由器初始配置后立即生效。具体如下：
- 路由器访问 ：默认情况下，只能通过物理连接到路由器的控制台端口来访问。初始配置时，需将笔记本电脑或其他终端直接连接到控制台端口。其他远程管理访问和管理访问协议，如Telnet、FTP和SSH（安全外壳）默认均被禁用（J系列路由器默认启用Web界面以辅助初始系统配置）。初始配置完成后，可通过以下命令启用SS