[安全]保护您的路由器远离字典攻击

　　下面给出一个例子

　　login block-for 120 attempts 5 within 60

　　该命令对系统进行如下配置：如果在60秒以内有五次登陆失败的话，路由器系统将在120秒以内拒绝所有的登陆。如果此时你输入show login的话，你将接收到以下输出信息：

　　缺省情况下登陆延迟时间是一秒钟。

　　没有配置安静模式访问列表。

　　路由器激活了登陆攻击监控程序。

　　如果在60秒左右的时间内有五次登陆失败的话，

　　系统将禁用登陆操作120秒。

　　路由器目前处于正常模式。

　　目前的监控窗口还有54秒钟。

　　目前的登陆失败次数为0。

　　这些信息显示了你的设置，包括缺省的登陆延迟时间为一秒钟，以及其他的附加信息。它还告诉你目前路由器处于正常模式，这意味着路由器目前还允许你登陆。

　　如果路由器认为有人对其进行攻击，它将进入安静模式，并且开始拒绝所有的登陆操作。你还可以配置一个ACL，在其中说明这个路由器对哪些主机和网络例外，无论是处于安静模式还是处于其他状态，都允许这些主机和网络登陆路由器。

　　下面是这些命令中用于配置系统的一些选项：

　　登陆延迟（数字）： 在失效登陆后增加延迟的秒数。你可以选择1到10之间的任何数字。

　　登陆失败和登陆成功：这些选项允许你选择在登陆成功或者失败时使用的日志和SNMP警告的类型。

　　登陆安静模式访问类（ACL数字）：增加ACL数字，使用这个选项可以增加一个隔绝列表，无论路由器处于安静模式还是处于正常模式，这个列表中的主机和网络都可以登陆路由器。

　　通常情况下，为了安全，我建议在所有的路由器上都激活login block-for选项。这些新功能将可以帮助你更好的保证路由器的安全。

　　如果你正好从事这方面的工作，并且你还没有做好准备的话，那么可以考虑只在路由器上使用SSH并且只允许从内网访问。SSH加密所有从PC到路由器的通信信息（包括用户名和密码）。

第1页:保护您的路由器远离字典攻击(1)   第2页:保护您的路由器远离字典攻击(2)