路由器口令配置 確保上網安全
路由器口令配置 確保上網安全,向大家介紹路由器口令設置的方法,可能好多人還不了解怎么對路由器口令設置進行優化,沒有關系,看完本文你肯定有不少收獲,希望本文能教會你更多東西。
正確配置思科路由器口令從而保障網絡安全
網絡的安全管理涉及到許多方面,但縱觀許多安全事件,可以得到一個基本的結論,危害都是由于忽視了基本的安全措施而造成的。本文將討論維護思科路由器口令安全的重要性,解釋思科路由器IOS的三種模式,并向讀者展示如何配置五大口令保護網絡安全。
借助口令保障路由器安全的原因
首先,作為思科設備的管理員,我們必須認識到,路由器并不存在什么自動化的口令防御。管理員必須認真對待思科設備的口令設置問題。思科設備運行的靈魂是IOS,它有不同的模式。這些模式是分等級設置的,這意味著訪問的越深入,所要求的特權就越多,為每一相應層次設置的口令就越多。
思科IOS的三大模式
用戶模式
在用戶模式中,顯示的是路由器的基本接口信息。有人認為這種模式根本就沒有用,因為這種模式中無法作出配置改變,用戶也無法查看任何重要的信息。
特權模式
管理員可以在這種模式中查看和改變配置。筆者以為,在這個級別上,擁有一套口令集是絕對重要的。要從用戶模式切換到特權模式,管理員需要鍵入enabel命令,并按下回車鍵:
◆Router> enable
◆Router#
全局配置模式
從特權模式下,我們現在可以訪問全局配置模式。這里,我們可以作出改變影響整個路由器的運行,這些改變當然包括配置上的改變。作為管理員,我們需要更進一步,深入到路由器的命令中,對其配置作出合理的改變。
下面給出的是一個訪問這種模式的例子:
◆Router# configure terminal
◆Router(config)#
正確配置五大路由器口令
首先,要知道思科的IOS擁有五大口令,分別是控制臺口令、AUX口令、VTY口令、Enable password口令、Enable secret口令。下面分別分析之。
控制臺路由器口令
如果用戶沒有在路由器的控制臺上設置口令,其他用戶就可以訪問用戶模式,并且,如果沒有設置其它模式的口令,別人也就可以輕松進入其它模式。控制臺端口是用戶最初開始設置新路由器的地方。在路由器的控制臺端口上設置口令極為重要,因為這樣可以防止其它人連接到路由器并訪問用戶模式。
因為每一個路由器僅有一個控制臺端口,所以你可以在全局配置中使用line console 0命令,然后再使用login和password命令來完成設置。這里password命令用于設置恰當的口令,如下所示:
◆Router# config t
◆Router(config)# line console 0
◆Router(config-line)# password SecR3t!pass
◆Router(config-line)# login
◆注意:***設置復雜的口令避免被其他人猜測出來。
Aux(輔助端口)路由器口令
這也是路由器上的一個物理訪問端口,不過并非所有的路由器都有這個端口。因為Aux端口是控制臺端口的一個備份端口,所以為它配置一個口令也是同樣重要的。
◆Router# config t
◆Router(config)# line aux 0
◆Router(config-line)#password SecR3t!pass
◆Router(config-line)# login
(VTY)遠程登錄路由器口令
虛擬終端連接并非是一個物理連接,而是一個虛擬連接。可以用它來telnet或ssh進入路由器。當然,你需要在路由器上設置一個活動的LAN或WAN接口以便于telnet工作。因為不同的路由器和交換機擁有不同的VTY端口號,所以你應當在配置這些端口之前查看有哪些端口。為此,可以在特權模式中鍵入line ?命令。下面給出一個配置VTY連接的例子:
◆Router# config t
◆Router(config)# line vty 0 4
◆Router(config-line)# password SecR3t!pass
◆Router(config-line)# login
Enable password-啟用路由器口令
enable password命令可以防止某人完全獲取對路由器的訪問權。Enable命令實際上可以用于在路由器的不同安全級別上切換(共有0-15等16個安全級別)。不過,它最常用于從用戶模式(級別1)切換到特權模式(級別15)。事實上,如果你處于用戶模式,而用戶鍵入了enable命令,此命令將假定你進入特權模式。
如果要設置一個口令用于控制用戶從用戶模式轉向特權模式,就要進入全局配置模式并使用enable password命令,如下所示:
◆Router# config t
◆Router(config)# enable password SecR3t!enable
◆Router(config)# exit
Enable password-啟用路由器口令
enable password命令可以防止某人完全獲取對路由器的訪問權。Enable命令實際上可以用于在路由器的不同安全級別上切換(共有0-15等16個安全級別)。不過,它最常用于從用戶模式(級別1)切換到特權模式(級別15)。事實上,如果你處于用戶模式,而用戶鍵入了enable命令,此命令將假定你進入特權模式。
如果要設置一個口令用于控制用戶從用戶模式轉向特權模式,就要進入全局配置模式并使用enable password命令,如下所示:Enable password命令不好的一面是它容易被其他人猜測出來,這也正是我們需要使用enabel secret的原因。
Enable secret-啟用加密
路由器口令啟用加密口令(enable secret password)與enable password 的功能是相同的。但通過使用“enable secret”,口令就以一種更加強健的加密形式被存儲下來:Router(config)# enable secret SecR3t!enable在很多情況下,許多網絡癱瘓是由于缺乏口令安全造成的。因此,作為管理員一定要保障正確設置其交換機和路由器的口令。
