信息安全工程师-交换机与路由器安全威胁及六大基础防护机制

一、引言

网络设备作为网络通信的核心承载节点，是软考信息安全工程师考试中网络安全模块的高频考点，分值占比常年稳定在 8-12 分。交换机与路由器分别工作在 OSI 模型的数据链路层和网络层，承担着流量转发、路由计算的核心功能，其安全性直接决定整个网络的可用性与保密性。

网络设备安全技术发展历经三个阶段：1990-2005 年为基础防护阶段，核心措施为口令管理与物理访问控制；2005-2018 年为协议安全阶段，重点解决路由协议、交换协议的内生安全缺陷；2018 年至今为内生安全阶段，实现设备自身的可信启动、行为基线检测等能力。

本文依据《信息安全工程师教程（第 2 版）》第 21 章内容，系统梳理交换机与路由器的核心安全威胁，详解六大基础防护机制的原理、实现与配置要点，覆盖考试中选择题、案例分析题的全部相关考点。

二、交换机与路由器的核心安全威胁

（一）交换机面临的四大安全威胁

交换机的核心功能是基于 MAC 地址表实现端口 - 主机的映射转发，其安全威胁均围绕破坏该核心机制或管理通道展开：

1. MAC 地址泛洪攻击
   攻击者通过伪造源 MAC 地址随机的以太网帧，短时间内向交换机发送数十万条无效条目，填满交换机默认大小通常为 8K-128K 的 MAC 地址表。此时交换机触发失效开放机制，将所有未知目的 MAC 的帧向所有端口广播，退化为共享介质的集线器，攻击者可通过端口镜像嗅探全网流量，包括明文传输的账号密码、业务数据。典型攻击工具为 Macof，每秒可生成 10 万条虚假 MAC 地址条目，普通接入层交换机 10 秒内即可被攻陷。
2. ARP 欺骗攻击
   攻击者向同 VLAN 内的主机或网关发送伪造的 ARP 响应报文，篡改目标主机 ARP 缓存中 IP 地址对应的 MAC 地址，将自身 MAC 地址与网关 IP 绑定，实现流量拦截的中间人攻击，或伪造不存在的 MAC 地址导致网络中断。该攻击仅能在同一广播域内生效，是局域网内最常见的窃听与拒绝服务攻击手段。
3. 口令安全威胁
   攻击者针对交换机的 Console、AUX、VTY 等管理接口，采用字典攻击、暴力破解手段尝试获取管理权限。其中 VTY 远程管理接口由于暴露在网络中，是攻击的首要目标，若采用弱口令或未限制访问源 IP，攻击者可在数小时内获取管理权限。
4. 漏洞利用
   交换机固件存在的缓冲区溢出、命令注入、认证绕过等漏洞，可被攻击者利用实现非授权访问。例如 2023 年某主流厂商交换机存在的 SNMP 服务漏洞，攻击者发送特制的 SNMP 请求报文即可获取设备最高权限，影响全球超过 100 万台在线设备。

交换机安全威胁攻击路径示意图

（二）路由器面临的五大安全威胁

路由器的核心功能是基于路由协议维护路由表，实现跨网段流量转发，其威胁除通用管理风险外，更多集中在路由协议与流量处理层面：

1. 漏洞利用
   路由器操作系统的漏洞风险远高于交换机，典型漏洞包括 HTTP 管理界面的命令注入、路由协议报文解析的缓冲区溢出等。例如 2022 年披露的某厂商路由器 IOS 漏洞，攻击者发送特制的 BGP 更新报文即可导致设备崩溃，影响全球运营商骨干网节点。
2. 口令安全威胁
   与交换机一致，路由器的 Console、VTY 等管理接口同样面临暴力破解风险，且由于路由器通常部署在网络边界，暴露在公网的管理接口攻击面远大于内网交换机。
3. 路由协议安全威胁
   攻击者通过发送伪造的路由协议报文，包括 RIP、OSPF、BGP 等，扰乱路由器的路由表。例如攻击者发送伪造的 OSPF LSA 报文，将自身宣告为去往核心网段的最优路由，实现流量劫持；或发送大量虚假路由条目耗尽路由器路由表资源，导致合法流量无法转发。
4. DoS/DDoS 威胁
   分为两类攻击方式：第一类为畸形包攻击，攻击者发送分片重叠、包头字段异常的 IP 报文，导致路由器报文处理模块异常崩溃；第二类为流量洪泛攻击，利用僵尸网络发送超过路由器端口带宽的流量，耗尽设备的 CPU、内存、带宽资源，导致合法流量被丢弃。骨干网路由器的 DDoS 攻击通常流量超过 100Gbps，可直接导致区域网络瘫痪。
5. 依赖性威胁
   路由器的正常运行依赖 AAA 服务器、NTP 服务器、Syslog 服务器等支撑系统，攻击者通过攻击这些支撑系统，间接导致路由器功能失效。例如破坏 AAA 服务器后，管理员无法通过远程认证登录路由器；篡改 NTP 时间可导致日志时间混乱、IPSec VPN 隧道协商失败。

路由器安全威胁分类与影响范围对比表

三、六大核心安全防护机制详解

（一）认证机制：管理访问的身份校验

认证机制用于验证访问者的身份合法性，是网络设备安全的第一道防线，分为本地认证与集中认证两类：

1. 本地口令认证
   设备本地存储管理账号密码，支持 Console、AUX、VTY 等接口的独立口令配置。本地认证无需依赖外部服务器，适用于小型网络，但存在账号分散管理、权限无法统一配置的缺陷。
2. TACACS + 认证
   符合 RFC 8907 标准，实现认证、授权、审计完全分离，支持针对每条命令的细粒度授权，所有管理操作均可生成审计日志。配置时需在设备上指定 TACACS + 服务器 IP 地址、共享密钥，并在管理接口下启用 AAA 认证，适用于中大型企业的集中账号管理。其优势是传输过程采用 TCP 协议且全报文加密，安全性更高；缺点是协议复杂，服务器部署成本较高。
3. RADIUS 认证
   符合 RFC 2865 标准，认证与授权合并实现，采用 UDP 协议传输，仅加密口令字段，报文其余部分明文传输。配置逻辑与 TACACS + 类似，优势是轻量、性能更高，适用于普通用户接入认证；缺点是不支持细粒度命令授权，审计能力较弱。

（二）访问控制：精细化权限限制

访问控制用于限制不同身份用户的操作权限与访问来源，遵循最小权限原则：

1. 管理接口访问控制

• Console 接口：通过access-class命令结合 ACL，限制仅特定物理连接终端可访问，避免非授权人员通过物理接口接入设备；
• VTY 接口：通过access-class限制远程登录的源 IP 地址范围，仅允许管理网段的 IP 访问，同时配置exec-timeout设置 5-15 分钟的会话超时，避免管理员离开后会话被冒用；
• HTTP/HTTPS 接口：通过ip http access-class限制 Web 管理的访问源 IP，若无必要需禁用 HTTP 服务，仅启用 HTTPS；
• SNMP 接口：采用三层防护：设置复杂度不低于 8 位的社区字符串，通过 ACL 限制 SNMP 访问源 IP，若无需监控则直接通过no snmp-server命令关闭服务。

1. 管理通道优化
   部署独立的管理 VLAN，所有设备的管理 IP 仅在管理 VLAN 内可达，与业务流量完全隔离；同时禁用 Telnet 协议，强制使用 SSH 进行远程管理，避免管理口令明文传输。
2. 特权分级
   将设备命令划分为 0-15 共 16 个权限级别：0 级为参观级，仅支持 ping、tracert 等网络诊断命令；1 级为监控级，支持查看设备配置与运行状态；2-14 级为配置级，可配置业务相关参数；15 级为管理级，拥有设备全部操作权限。通过为不同管理员分配对应级别的权限，实现最小权限管控。

访问控制机制部署架构示意图

（三）信息加密：敏感数据存储保护

设备配置文件中存储的口令、共享密钥等敏感信息，若采用明文存储，一旦配置文件泄露将直接导致设备失陷。主流厂商均提供配置加密功能：思科设备通过service password-encryption命令将配置中的所有口令采用 Type 7 算法加密存储；华为设备直接支持配置 cipher 类型密码，采用 AES-256 算法加密存储，即便攻击者获取配置文件也无法直接还原明文口令。

需注意的是，思科 Type 7 算法为可逆弱加密，仅用于防止旁观者偷窥，若需更高安全性需配置 Type 5 或 Type 9 强加密口令。

（四）安全通信：管理流量传输加密

管理流量在网络中传输时若未加密，可能被攻击者嗅探窃取口令或操作内容，需采用加密协议保障传输安全：

1. SSH 协议
   替代 Telnet 的远程管理协议，目前主流版本为 SSH v2，采用非对称加密实现身份认证，对称加密实现会话内容加密。配置步骤包括：设置设备域名，生成 1024 位以上的 RSA 密钥对，在 VTY 接口下配置transport input ssh仅允许 SSH 访问，禁用 SSH v1 版本以避免安全漏洞。
2. IPSec VPN
   当管理员需要通过公网远程管理设备时，通过在管理员终端与设备之间建立 IPSec 隧道，采用 ESP 协议加密整个管理流量，即便流量在公网传输也无法被窃听或篡改，提供比 SSH 更高的安全等级。

安全通信机制加密流程示意图

（五）日志审计：操作行为追溯

日志审计用于记录设备的所有操作与异常事件，是事后溯源与故障排查的核心依据：

设备支持三类日志存储方式：控制台日志，将日志输出到 Console 接口，仅适用于现场调试；缓冲区日志，将日志存储在设备内存中，设备重启后丢失；Syslog 日志，将日志发送到专用的 Syslog 服务器集中存储，支持长期留存与关联分析。

最佳实践是将所有设备的日志级别调整为 informational 级别，同时配置日志时间与 NTP 服务器同步，确保日志时间准确，满足等保 2.0 中日志留存不少于 6 个月的要求。

（六）物理安全：安全防护的基础

物理安全是所有网络安全措施的前提，若攻击者可物理接触设备，可通过 Console 密码恢复、固件刷写等方式绕过所有逻辑安全措施。物理安全要求包括：设备部署在门禁管控的机房内，严格限制物理访问权限；设备的 USB、AUX 等闲置接口需物理封堵；制定设备安装、移动、维护的审批流程，所有操作需全程记录；制定设备物理受损后的应急恢复流程，备用设备与配置备份需异地存储。

六大防护机制对应威胁覆盖矩阵图

四、典型部署案例与配置要点

（一）企业网络设备安全配置案例

某中型企业网络包含 2 台核心路由器、4 台核心交换机、20 台接入交换机，采用如下安全配置：

1. 所有设备采用 TACACS + 集中认证，授权级别分为 3 级：网络运维人员为 1 级，仅可查看配置；网络工程师为 8 级，可配置端口、VLAN 等业务参数；网络管理员为 15 级，可进行系统升级、配置修改等操作。
2. 所有设备的 VTY 接口仅允许管理 VLAN 10 的 192.168.10.0/24 网段访问，会话超时时间设置为 10 分钟，仅启用 SSH v2 协议，禁用 Telnet 与 HTTP 服务。
3. 设备配置文件中的所有口令采用 AES-256 加密存储，日志全部发送到 Syslog 服务器，留存时间为 1 年。
4. 所有交换机配置端口安全，限制每个端口的最大 MAC 地址数量为 5，防范 MAC 地址泛洪攻击；配置 DAI 动态 ARP 检测，防范 ARP 欺骗攻击。
5. 路由器启用 OSPF 协议的 MD5 认证，仅接收合法路由器发送的路由更新，防范路由协议攻击；配置 uRPF 反向路径转发，防范源地址伪造的 DDoS 攻击。
   该配置方案通过等保 2.0 三级测评，连续 3 年未发生网络设备安全事件。

（二）常见配置错误与避坑指南

1. 错误配置access-class命令时将方向设置为 out，导致限制的是设备向外发起的连接而非向内的管理连接，无法实现访问控制效果；
2. 配置 SSH 时未禁用 SSH v1 版本，存在被明文恢复密钥的安全风险；
3. 仅启用本地认证未配置账号锁定策略，攻击者可无限次尝试口令暴力破解；
4. 日志仅存储在设备本地缓冲区，设备重启后日志丢失，无法满足合规要求与事件溯源需求。

五、软考考试要点与备考建议

（一）高频考点梳理

1. 选择题高频考点：MAC 地址泛洪攻击、ARP 欺骗攻击的原理与影响；TACACS + 与 RADIUS 的技术对比；SSH 与 Telnet 的安全差异；特权级别的划分标准；等保 2.0 对网络设备日志留存的要求。
2. 案例分析题高频考点：给定网络攻击场景，判断攻击类型并给出防护措施；给定设备配置片段，找出安全配置缺陷并给出修正方案；设计企业网络设备的安全防护方案，覆盖六大防护机制。

（二）易错点提示

1. 混淆 TACACS + 与 RADIUS 的协议特性：TACACS + 采用 TCP、全报文加密、三权分立；RADIUS 采用 UDP、仅加密口令、认证授权合并，需明确区分两类协议的适用场景。
2. 混淆交换机与路由器的特有威胁：MAC 地址泛洪、ARP 欺骗是交换机特有的威胁；路由协议攻击、流量型 DDoS 是路由器特有的威胁，案例分析中需根据设备类型准确判断。
3. 忽略物理安全的基础地位：所有逻辑安全措施的前提是物理安全，方案设计中必须包含物理安全相关内容。

（三）备考建议

1. 重点掌握《信息安全工程师教程（第 2 版）》第 21 章的所有内容，熟记常见安全配置命令的功能与应用场景；
2. 动手模拟交换机与路由器的基本安全配置，包括 SSH 配置、ACL 配置、TACACS + 配置等，加深对配置逻辑的理解；
3. 整理历年真题中网络设备安全相关的题目，总结考点分布与出题规律，重点攻克路由协议安全、访问控制配置两类案例分析题。

六、总结

交换机与路由器作为网络的核心基础设施，其安全防护是网络安全体系的第一道防线，也是软考信息安全工程师的核心考点。本文系统梳理了交换机的四类核心威胁与路由器的五类核心威胁，详解了认证、访问控制、信息加密、安全通信、日志审计、物理安全六大基础防护机制的原理、实现与配置要点，覆盖考试所有相关知识点。

备考过程中需准确区分不同威胁的适用场景，掌握各类防护机制的配置逻辑与技术差异，能够结合实际场景设计完整的防护方案，即可轻松应对该模块的所有题型。