資源描述:
《史上最細(xì)致的Cisco路由安全配置》由會員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫���。
1��、很多網(wǎng)絡(luò)管理員在剛開始使用思科路由器時都會忽略安全設(shè)置����,本文介紹的內(nèi)容非常適合此類應(yīng)用者在使用思科路由器時對網(wǎng)絡(luò)安全進(jìn)行配置。一.路由器“訪問控制”的安全配置1.嚴(yán)格控制可以訪問路由器的管理員�����。任何一次維護(hù)都需要記錄備案��。2.建議不要遠(yuǎn)程訪問路由器�。即使需要遠(yuǎn)程訪問路由器���,建議使用訪問控制列表和高強(qiáng)度的密碼控制��。3.嚴(yán)格控制CON端口的訪問�。具體的措施有:A.如果可以開機(jī)箱的����,則可以切斷與CON口互聯(lián)的物理線路。B.可以改變默認(rèn)的連接屬性�,例如修改波特率(默認(rèn)是96000,可以改為其他的)����。C.配合使用訪問控制列表控制對C
2�����、ON口的訪問����。如:Router(Config)#Access-list1permit192.168.0.1Router(Config)#linecon0?Router(Config-line)#Transportinputnone?Router(Config-line)#Loginlocal?Router(Config-line)#Exec-timeoute50?Router(Config-line)#access-class1in?Router(Config-line)#endD.給CON口設(shè)置高強(qiáng)度的密碼��。4.如果不使
3����、用AUX端口,則禁止這個端口��。默認(rèn)是未被啟用�����。禁止如:Router(Config)#lineaux0?Router(Config-line)#transportinputnone?Router(Config-line)#noexec5.建議采用權(quán)限分級策略��。如:Router(Config)#usernameBluShinprivilege10G00dPa55w0rd?Router(Config)#privilegeEXEClevel10telnet?Router(Config)#privilegeEXEClevel10sh
4���、owipaccess-list6.為特權(quán)模式的進(jìn)入設(shè)置強(qiáng)壯的密碼����。不要采用enablepassword設(shè)置密碼。而要采用enablesecret命令設(shè)置��。并且要啟用Servicepassword-encryption����。7.控制對VTY的訪問。如果不需要遠(yuǎn)程訪問則禁止它����。如果需要則一定要設(shè)置強(qiáng)壯的密碼。由于VTY在網(wǎng)絡(luò)的傳輸過程中為加密�,所以需要對其進(jìn)行嚴(yán)格的控制。如:設(shè)置強(qiáng)壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴(yán)格控制訪問的地址;可以采用AAA設(shè)置用戶的訪問控制等��。8.IOS的升級和備份�,以及配置文件的備份建議使用FT
5�、P代替TFTP。如:Router(Config)#ipftpusernameBluShin?Router(Config)#ipftppassword4tppa55w0rd?Router#copystartup-configftp:9.及時的升級和修補(bǔ)IOS軟件�����。二.路由器“網(wǎng)絡(luò)服務(wù)”的安全配置1.禁止CDP(CiscoDiscoveryProtocol)�。如:Router(Config)#nocdprun?Router(Config-if)#nocdpenable2.禁止其他的TCP����、UDPSmall服務(wù)��。Router(C
6���、onfig)#noservicetcp-small-servers?Router(Config)#noserviceudp-samll-servers3.禁止Finger服務(wù)����。Router(Config)#noipfinger?Router(Config)#noservicefinger4.建議禁止HTTP服務(wù)���。Router(Config)#noiphttpserver如果啟用了HTTP服務(wù)則需要對其進(jìn)行安全配置:設(shè)置用戶名和密碼;采用訪問列表進(jìn)行控制�����。如:Router(Config)#usernameBluShinpri
7�、vilege10G00dPa55w0rd?Router(Config)#iphttpauthlocal?Router(Config)#noaccess-list10?Router(Config)#access-list10permit192.168.0.1?Router(Config)#access-list10denyany?Router(Config)#iphttpaccess-class10?Router(Config)#iphttpserver?Router(Config)#exit5.禁止BOOTp服務(wù)����。Rout
8、er(Config)#noipbootpserver禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件�。Router(Config)#nobootnetwork?Router(Config)#noservicconfig6.禁止IPSourceRouting。Router(Config)#noipsource-
