路由器的安全配置

随着internet的快速发展和*、企业上网工程的日益推广，越来越多的*机关和企业在网络上建立网站来进行对外宣传，这样，网络上的安全问题就显得日益突出。许多*机关及企业都安装了防火墙来保证网络服务器的安全，却往往忽视了站在最前沿的“卫士”——路由器。在网络上，一旦有人恶意进入你的路由器，将对你的网络安全产生极大的威胁。

　　 实际上，路由器可以看作是一台具有*处理器、内存、操作系统的计算机，将地理上分散的网络连接在一起，实现它们之间的网络通信。所以，路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用。在实际的工作中，我们接触到比较多的是cisco的路由器，下面就以cisco路由器为例，看看路由器的配置。

　　 cisco路由器中的操作系统叫做互连网络操作系统（internet operating system），或简称为ios，对cisco路由器的配置可以通过手工使用连接到控制端口的终端或者利用telnet会话等方式进行配置，常用的是利用console口进行配置，将cisco自带的配置线和一台计算机的com口连接好，在windows 95/98或windows nt中的超级终端进行连接，步骤如下:

　　 1、 在超级终端中新建连接，在连接时使用下拉式菜单种选择直连串口连接1（或者直连串口连接2），在com口的属性页中按还原默认设置，将波特率设置为9600bps、数据位8位，奇偶校验位无、停止位1，确认即可。

　　 2、 确认之后，进入超级终端的控制窗口，这时你就可以利用这个连接对路由器进行配置。如果你的路由器是第一次打开电源，路由器将会进入到初始化配置对话，这是可根据提示一步步地对路由器进行配置。配置时请注意你输入的enable password和virtual terminal password，这两个密码将对你的路由器安全举足轻重。enable password是你进入特权模式的口令，virtual terminal password是通过虚拟终端（telnet访问）时的密码。

　　 3、 如果你的路由器已经配置完毕，请在特权模式下执行：(特权模式的提示符为“#”)

　　 router（config）>#sh run

　　 你可能会看到有这么几行：

　　 line vty 0 4

　　 password *****(*为你设置的密码)

　　 或

　　 login local

　　 这几行配置的含义是：

　　 第一行定义五个允许的telnet访问（编码0-4），下一行表明进入到提示符前要输入密码*****或是以路由中设立的用户名和密码登录。可以看出，利用路由器中的用户名和密码登录将比直接利用密码登录安全。

　 下面我大致写一下在路由器中建立用户，设置进入密码和虚终端密码的步骤：

　　 router>

　　 //进入到特权模式下

　　 router >enable

　　 password:

　　 //进入到全局模式下

　　 router #conf t

　　 enter configuration commands, one per line. end with cntl/z.

　　 //给自己的路由器起一个名字

　　 router (config)#hostname myrouter

　　 //将enable的密码设置为ababab

　　 router (config)#enable password ababab

　　 //在路由器中建立用户名称为aaa密码为bbb

　　 myrouter (config)#username aaa password bbb

　　 //配置console口

　　 myrouter (config)#line con 0

　　 //用路由器中的用户名和密码登录

　　 myrouter (config-line)#login local

　　 myrouter (config-line)#flowcontrol hardware

　　 myrouter (config-line)#end

　　 //配置远程登录虚终端0-4

　　 myrouter (config)#line vty 0 4

　　 //用路由器中的用户名和密码登录

　　 myrouter (config-line)#login local

　　 myrouter (config-line)#end

　　 myrouter (config)#end

　　 //将刚才的设置存盘

　　 myrouter >write

　　 配置完成之后，你可以用telnet远程登录你的路由器来测试一下，看登录和进入特权模式是否需要密码。