監(jiān)控配置更改

        用戶在對路由器配置進行改動之后，需要對其進行監(jiān)控。如果用戶使用SNMP，那么一定要選擇功能強大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通過SNMP管理對設備進行遠程配置，用戶最好將SNMP設備配置成只讀。拒絕對這些設備進行寫訪問，用戶就能防止黑客改動或關閉接口。此外，用戶還需將系統(tǒng)日志消息從路由器發(fā)送至指定服務器。 


        為進一步確保安全管理，用戶可以使用SSH等加密機制，利用SSH與路由器建立加密的遠程會話。為了加強保護，用戶還應該限制SSH會話協(xié)商，只允許會話用于同用戶經常使用的幾個可信系統(tǒng)進行通信。 


        配置管理的一個重要部分就是確保網絡使用合理的路由協(xié)議。避免使用路由信息協(xié)議（RIP），RIP很容易被欺騙而接受不合法的路由更新。用戶可以配置邊界網關協(xié)議（BGP）和開放最短路徑優(yōu)先協(xié)議（OSPF）等協(xié)議，以便在接受路由更新之前，通過發(fā)送口令的MD5散列，使用口令驗證對方。以上措施有助于確保系統(tǒng)接受的任何路由更新都是正確的。 


        實施配置管理 


        用戶應該實施控制存放、檢索及更新路由器配置的配置管理策略，并將配置備份文檔妥善保存在安全服務器上，以防新配置遇到問題時用戶需要更換、重裝或回復到原先的配置。 


        用戶可以通過兩種方法將配置文檔存放在支持命令行接口（CLI）的路由器平臺上。一種方法是運行腳本，腳本能夠在配置服務器到路由器之間建立SSH會話、登錄系統(tǒng)、關閉控制器日志功能、顯示配置、保存配置到本地文件以及退出系統(tǒng)；另外一種方法是在配置服務器到路由器之間建立IPSec隧道，通過該安全隧道內的TFTP將配置文件拷貝到服務器。用戶還應該明確哪些人員可以更改路由器配置、何時進行更改以及如何進行更改。在進行任何更改之前，制訂詳細的逆序操作規(guī)程。