交换机与路由器的安全配置

白桂君　余梦琪　韩珺

摘要：进入21世纪以来，我们就进入了信息时代，全世界的计算机通过网络联系到一起，其安全配置更需要得到我们的注意。在本文中，我们将对交换器和路由器安全配置的有效方法进行分析，以保障其在运行过程的安全性和稳定性。

关键词：交换机；路由器；安全配置；维护方法

随着网络黑客、网络攻击等的不断出现，网络的安全性成为了各界人士共同关注的问题。由于网络的开放性和交互性，存在着很多因素，对网络安全产生着消极影响。网络硬件配置不协调、访问控制配置的错误，都有可能导致网络安全性问题，影响网络功能的发挥。交换机与路由器是网络设置中的重要组成部分，我们应做好交换机与路由器的安全配置工作，从而提高网络环境的安全性。

1、交换机的安全配置

交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制。目前一些高档交换机还具备了一些新的功能，如对VLAN（虚拟局域网）的支持、对链路汇聚的支持，甚至有的还具有路由和防火墙的功能。交换机在企业网络中占有非常重要的地位，一般是企业整个网络的核心，尤其是在这个黑客频出的时代，交换机承担了一定的安全防护任务，因此，一般来说交换机在制造的过程中，已经将安全问题考虑在其中，使其具备基本的访问控制、防火墙、入侵检测和防病毒等功能。具体来说，对交换机的安全配置可以通过如下几个方面进行：

1.1 对流量进行控制

在企业网络的运行过程中，有的时候会存在异常流量，对企业的宽带网进行流量窃取，而安全交换机能够对这部分异常流量进行检测和管理，使其控制在一個合理的范围之内，从而限制异常流量，保持网络的通畅。

1.2 虚拟局域网

交换机的其中一个保障安全性的功能，就是虚拟局域网。虚拟局域网能够将网络分成一个个独立的区域，对这些区域进行控制和管理，限制其是否可以通讯。一般情况下，虚拟局域网能够跨越一个或者多个交换机，使设备之间实现在同一个网络间的通讯。虚拟局域网能够对网络内的访问进行授权，也可以对一些限制用户的行为进行控制，阻止其访问。

1.3 访问控制列表

交换机能够对访问列表进行控制，能够实现防火墙的安全功能，使交换机的安全防护功能进一步增强。在以往的经验中，访问控制列表只能够在核心路由器上进行使用，而在安全交互机中，访问控制过滤措施可以基于端口、ICMP类型或者Mac地址来实现。访问控制列表既可以让网络管理人员对网络策略进行制定，使部分用户或者是特定的数据流被允许或者拒绝，也能够加强网络的安全屏障，使黑客难以找到主机，从而失去发动攻击的目的地。

2、路由器的安全配置

路由器在人们的生活中非常常见，能够将计算机连接到网络中，并且能够根据信道的情况来自动选择和设定路由，以最佳路径来发送信号。路由器的主要功能有两种，一种是数据通道功能，能够帮助数据在网络中实现传输，另一种是控制功能，一般由软件来实现，可以使该路由器与相邻路由器之间进行信息的交流和系统的管理、配置。对于黑客来说，能够快速找到路由器的安全漏洞，并发动攻击，导致cpu周期被浪费，误导信息流量，甚至会造成网络的瘫痪。路由器的安全配置主要有如下几个方面：

2.1 发现并堵住安全漏洞

当前，最有效的一种路由器安全防护方法，就是限制系统物理访问。限制系统物理访问的方法，主要是对控制台和终端会话进行配置，使其在空闲的实施能够自动退出系统。还有一种方法就是将调制解调器连接到路由器的辅助端口上。在限制了路由器的系统物理访问的同时，应确保路由器的安全补丁是最新的。由于漏洞一般是在各种杀毒软件、防火墙在发布补丁之前就出现了，因此黑客很有可能抢在补丁发布之前来对系统进行攻击，从而影响系统的应用，因此用户也应做好日常维护，防止黑客攻击。

2.2 防止个人身份信息暴露

黑客在对计算机进行侵入的时候，一般会尝试用安全性比较弱的密码来进行侵入，因此在设置密码的时候应尽可能增加密码的长度，并经常对密码进行更改，防止黑客的攻击。在一个企业中，如果员工辞职了，应马上对计算机的密码进行更改，防止个人身份信息泄露，使黑客进入企业网络中进行攻击。路由器中应开启加密功能，防止黑客对网络中的信息进行浏览，在用户进入网络的时候应对其身份进行验证，才能够为用户提供网络服务。

2.3 对不必要的服务进行拦截

拥有众多路由服务是件好事，但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议（NTP）的服务，对照有效准确的时间源以确保网络上的设备时针同步。不过，确保网络设备时钟同步的最佳方式不是通过路由器，而是在防火墙保护的非军事区（DMZ）的网络区段放一台NTP服务器，将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上，用户很少需要运行其他服务，如SNMP和DHCP。只有绝对必要的时候才使用这些服务。

结语

总之，我们应认识到安全配置对于网络安全的重要性，并做好交换机和路由器的安全配置工作，从而保障用户的数据安全。

【参考文献】：

[1]刘涛.Cisco Packet Tracer在交换机路由器配置实践中的应用[J].阜阳职业技术学院学报，2013（02）：44-47.

[2]欧军.基于工作过程的《交换机与路由器配置》课程研究[J].吉林省教育学院学报（上旬），2013（02）：153-154.

[3]董超.浅析交换机路由器的配置维护和管理[J].中小企业管理与科技（下旬刊），2012（05）：301-302.

[4]白凯.路由器/交换机配置批量备份的探索[A].中国通信学会信息通信网络技术委员会.中国通信学会信息通信网络技术委员会2009年年会论文集（上册）[C].中国通信学会信息通信网络技术委员会，2009：7.

[5]刘允.用TFTP服务器备份路由器、交换机配置[J].华南金融电脑，2005（09）：108.