【网络安全】避免漏洞：H3C路由器的安全

　　对于网络而言，最重要的门户当然就是路由器，如果路由器连自身的安全都没有保障，那么整个网络也几乎没有安全可言，因此必须对路由器采取必要的安全措施，避免因路由器自身的安全问题而给整个网络带来漏洞和风险。

　　一、保护路由器设置口令

　　在备份的H3C路由器设置配置文件中，密码即使是用加密的形式存放，密码明文仍存在被破解的可能。

　　二、阻止路由器接收带源路由标记的包

　　IP source-route是一个全局配置命令，允许H3C路由器处理带源路由选项标记的数据流，启用源路由选项后，源路由信息指定的路由使数据流能够越过默认的路由，这种包就可能绕过防火墙，关闭命令如下：no ip source-route。

　　三、为路由器间的协议交换增加认证功能，提高网络安全性

　　H3C路由器设置的一个重要功能是路由的管理和维护，目前具有一定规模的网络都采用动态的路由协议，常用的有：RIP、EIGRP、OSPF、IS-IS、BGP等。当一台路由器设置了相同路由协议和相同区域标示符的路由器加入网络后，会学习网络上的路由信息表。

　　但此种方法可能导致网络拓扑信息泄漏，也可能由于向网络发送自己的路由信息表，扰乱网络上正常工作的路由信息表，严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证，当路由器配置了认证方式，就会鉴别路由信息的收发方。

　　四、阻止察看路由器诊断信息

　　关闭命令如下：no service tcp-small-servers no service udp-small-servers。

　　五、关闭路由器设置广播包的转发

　　Sumrf D.o.S攻击以有广播转发配置的路由器设置作为反射板，占用网络资源，甚至造成网络的瘫痪，应在每个端口应用no ip directed-broadcast关闭路由器广播包。

　　六、阻止查看到路由器设置当前的用户列表

　　关闭命令为：no service finger。

　　七、管理HTTP服务

　　HTTP服务提供Web管理接口，no ip http server可以停止HTTP服务，如果必须使用HTTP，一定要使用访问列表ip http access-class命令，严格过滤允许的IP地址，同时用ip http authentication命令设定授权限制。

　　八、关闭CDP服务

　　在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息，可以用命令：no cdp running或no cdp enable关闭这个服务。

　　大家可以检查一下路由器有没有安全漏洞。