欢迎登陆真网站,您的到来是我们的荣幸。 登陆 注册 忘记密码? ☆设为首页 △加入收藏
欢迎加入真幸福QQ群
电脑知识: 基础知识 网络技术 操作系统 办公软件 电脑维修 电脑安全 windows7 windows8 windows10 服务器教程 平板电脑 视频播放教程 网络应用 互联网 工具软件 浏览器教程 QQ技巧 输入法教程 影视制作 YY教程 wps教程 word教程 Excel教程 PowerPoint
云南西双版纳特产小花糯玉米真空包装


交换机好坏的评判标准
管理型交换机和非管理型交换机区别
鲁大师和超级兔子哪个好
网吧网络协议故障的排除方法
数据中心布线不容忽视的关键点
4种实现BYOD安全的方法
网络管理的五大功能有哪些
小技巧教你更加有效管理网络
WinRAR如何巧取文件列表
路由器组建大型网络发挥作用
思科路由器简易安全配置
【 来源:网络 】【 点击:1 】 【 发布时间:2017_03_03 08:59:59 】

   很多初级网络管理员在使用思科路由器时都会忽略安全设置,以下三个方面非常适合初级的应用者在使用思科路由器时对网络安全进行配置。

  一,路由器“访问控制”的安全配置

  1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。

  2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。

  3,严格控制CON端口的访问。具体的措施有:

  A,如果可以开机箱的,则可以切断与CON口互联的物理线路。

  B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。

  C,配合 使用访问控制列表控制对CON口的访问。

  如:Router(Config)#Access-list 1 permit 192.168.0.1

  Router(Config)#line con 0

  Router(Config-line)#Transport input none

  Router(Config-line)#Login local

  Router(Config-line)#Exec-timeoute 5 0

  Router(Config-line)#access-class 1 in

  Router(Config-line)#end

  D,给CON口设置高强度的密码。

  4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:

  Router(Config)#line aux 0

  Router(Config-line)#transport input none

  Router(Config-line)#no exec

  5,建议采用权限分级策略。如:

  Router(Config)#username BluShin privilege 10 G00dPa55w0rd

  Router(Config)#privilege EXEC level 10 telnet

  Router(Config)#privilege EXEC level 10 show ip access-list

  6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。

  7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。

  8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:

  Router(Config)#ip ftp username BluShin

  Router(Config)#ip ftp password 4tppa55w0rd

  Router#copy startup-config ftp:

  9,及时的升级和修补IOS软件。

  二,路由器“网络服务”的安全配置

  1,禁止CDP(Cisco Discovery Protocol)。如:

  Router(Config)#no cdp run

  Router(Config-if)# no cdp enable

  2,禁止其他的TCP、UDP Small服务。

  Router(Config)# no service tcp-small-servers

  Router(Config)# no service udp-samll-servers

  3,禁止Finger服务。

  Router(Config)# no ip finger

  Router(Config)# no service finger

  4,建议禁止HTTP服务。

  Router(Config)# no ip http server

  如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。如:

  Router(Config)# username BluShin privilege 10 G00dPa55w0rd

  Router(Config)# ip http auth local

  Router(Config)# no access-list 10

  Router(Config)# access-list 10 permit 192.168.0.1

  Router(Config)# access-list 10 deny any

  Router(Config)# ip http access-class 10

  Router(Config)# ip http server

  Router(Config)# exit

  5,禁止BOOTp服务。

  Router(Config)# no ip bootp server

  禁止从网络启动和自动从网络下载初始配置文件。

  Router(Config)# no boot network

  Router(Config)# no servic config

  6,禁止IP Source Routing。

  Router(Config)# no ip source-route

  7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。

  Router(Config)# no ip proxy-ar

  Router(Config-if)# no ip proxy-ar

  8,明确的禁止IP Directed Broadcast。

  Router(Config)# no ip directed-broadcast

  9,禁止IP Classless。

  Router(Config)# no ip classless

  10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。

  Router(Config-if)# no ip unreacheables

  Router(Config-if)# no ip redirects

  Router(Config-if)# no ip mask-reply

  11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:

  Router(Config)# no snmp-server community public Ro

  Router(Config)# no snmp-server community admin RW

  Router(Config)# no access-list 70

  Router(Config)# access-list 70 deny any

  Router(Config)# snmp-server community MoreHardPublic Ro 70

  Router(Config)# no snmp-server enable traps

  Router(Config)# no snmp-server system-shutdown

  Router(Config)# no snmp-server trap-anth

  Router(Config)# no snmp-server

  Router(Config)# end

  12,如果没必要则禁止WINS和DNS服务。

  Router(Config)# no ip domain-looku

  如果需要则需要配置:

  Router(Config)# hostname Router

  Router(Config)# ip name-server 202.102.134.96

  13,明确禁止不使用的端口。

  Router(Config)# interface eth0/3

  Router(Config)# shutdown

本网站由川南居提供技术支持,fkzxf版权所有 浙ICP备12031891号
淳安分站 淳安分站