99久久99久久精品免观看,国产精品久久久久国产精品,国产黄色录像视频,免费的黄色毛片,国产一区精品普通话对白,色妞妞成人在线观看,最新aⅴ福利在线观看免费

綠色資源網(wǎng):您身邊最放心的安全下載站! 最新軟件|熱門排行|軟件分類|軟件專題|廠商大全

綠色資源網(wǎng)

技術(shù)教程
您的位置:首頁系統(tǒng)集成網(wǎng)絡(luò)安全 → 史上最細(xì)致的Cisco路由安全配置

史上最細(xì)致的Cisco路由安全配置

我要評(píng)論 2011/01/31 13:33:56 來源:綠色資源網(wǎng) 編輯:綠色資源站 [ ] 評(píng)論:0 點(diǎn)擊:239次

  很多網(wǎng)絡(luò)管理員在剛開始使用思科路由器時(shí)都會(huì)忽略安全設(shè)置,本文介紹的內(nèi)容非常適合此類應(yīng)用者在使用思科路由器時(shí)對(duì)網(wǎng)絡(luò)安全進(jìn)行配置。

  一.路由器“訪問控制”的安全配置

  1.嚴(yán)格控制可以訪問路由器的管理員。任何一次維護(hù)都需要記錄備案。

  2.建議不要遠(yuǎn)程訪問路由器。即使需要遠(yuǎn)程訪問路由器,建議使用訪問控制列表和高強(qiáng)度的密碼控制。

  3.嚴(yán)格控制CON端口的訪問。具體的措施有:

  A.如果可以開機(jī)箱的,則可以切斷與CON口互聯(lián)的物理線路。

  B.可以改變默認(rèn)的連接屬性,例如修改波特率(默認(rèn)是96000,可以改為其他的)。

  C.配合使用訪問控制列表控制對(duì)CON口的訪問。

  如:Router(Config)#Access-list 1 permit 192.168.0.

  Router(Config)#line con 0 

  Router(Config-line)#Transport input none 

  Router(Config-line)#Login local 

  Router(Config-line)#Exec-timeoute 5 0 

  Router(Config-line)#access-class 1 in 

  Router(Config-line)#end

  D.給CON口設(shè)置高強(qiáng)度的密碼。

  4.如果不使用AUX端口,則禁止這個(gè)端口。默認(rèn)是未被啟用。禁止如:

  Router(Config)#line aux 0 

  Router(Config-line)#transport input none 

  Router(Config-line)#no exec

  5.建議采用權(quán)限分級(jí)策略。如:

  Router(Config)#username BluShin privilege 10 G00dPa55w0rd 

  Router(Config)#privilege EXEC level 10 telnet 

  Router(Config)#privilege EXEC level 10 show ip access-list

  6.為特權(quán)模式的進(jìn)入設(shè)置強(qiáng)壯的密碼。不要采用enable password設(shè)置密碼。而要采用enable secret命令設(shè)置。并且要啟用Service password-encryption。

  7.控制對(duì)VTY的訪問。如果不需要遠(yuǎn)程訪問則禁止它。如果需要?jiǎng)t一定要設(shè)置強(qiáng)壯的密碼。由于VTY在網(wǎng)絡(luò)的傳輸過程中為加密,所以需要對(duì)其進(jìn)行嚴(yán)格的控制。如:設(shè)置強(qiáng)壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴(yán)格控制訪問的地址;可以采用AAA設(shè)置用戶的訪問控制等。

  8.IOS的升級(jí)和備份,以及配置文件的備份建議使用FTP代替TFTP。如:

  Router(Config)#ip ftp username BluShin 

  Router(Config)#ip ftp password 4tppa55w0rd 

  Router#copy startup-config ftp:

  9.及時(shí)的升級(jí)和修補(bǔ)IOS軟件。

 二.路由器“網(wǎng)絡(luò)服務(wù)”的安全配置

  1.禁止CDP(Cisco Discovery Protocol)。如:

  Router(Config)#no cdp run 

  Router(Config-if)# no cdp enable

  2.禁止其他的TCP、UDP Small服務(wù)。

  Router(Config)# no service tcp-small-servers 

  Router(Config)# no service udp-samll-servers

  3.禁止Finger服務(wù)。

  Router(Config)# no ip finger 

  Router(Config)# no service finger

  4.建議禁止HTTP服務(wù)。

  Router(Config)# no ip http server

  如果啟用了HTTP服務(wù)則需要對(duì)其進(jìn)行安全配置:設(shè)置用戶名和密碼;采用訪問列表進(jìn)行控制。如:

  Router(Config)# username BluShin privilege 10 G00dPa55w0rd 

  Router(Config)# ip http auth local 

  Router(Config)# no access-list 10 

  Router(Config)# access-list 10 permit 192.168.0.1 

  Router(Config)# access-list 10 deny any 

  Router(Config)# ip http access-class 10 

  Router(Config)# ip http server 

  Router(Config)# exit

  5.禁止BOOTp服務(wù)。

  Router(Config)# no ip bootp server

  禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件。

  Router(Config)# no boot network 

  Router(Config)# no servic config

  6.禁止IP Source Routing。

  Router(Config)# no ip source-route

  7.建議如果不需要ARP-Proxy服務(wù)則禁止它,路由器默認(rèn)識(shí)開啟的。

  Router(Config)# no ip proxy-arp 

  Router(Config-if)# no ip proxy-arp

  8.明確的禁止IP Directed Broadcast。

  Router(Config)# no ip directed-broadcast

  9.禁止IP Classless。

  Router(Config)# no ip classless

  10.禁止ICMP協(xié)議的IP Unreachables,Redirects,Mask Replies。

  Router(Config-if)# no ip unreacheables 

  Router(Config-if)# no ip redirects 

  Router(Config-if)# no ip mask-reply

  11.建議禁止SNMP協(xié)議服務(wù)。在禁止時(shí)必須刪除一些SNMP服務(wù)的默認(rèn)配置?;蛘咝枰L問列表來過濾。如: 

  Router(Config)# no snmp-server community public Ro 

  Router(Config)# no snmp-server community admin RW 

  Router(Config)# no access-list 70 

  Router(Config)# access-list 70 deny any 

  Router(Config)# snmp-server community MoreHardPublic Ro 70 

  Router(Config)# no snmp-server enable traps 

  Router(Config)# no snmp-server system-shutdown 

  Router(Config)# no snmp-server trap-anth 

  Router(Config)# no snmp-server 

  Router(Config)# end

  12.如果沒必要?jiǎng)t禁止WINS和DNS服務(wù)。

  Router(Config)# no ip domain-lookup

  如果需要?jiǎng)t需要配置:

  Router(Config)# hostname Router 

  Router(Config)# ip name-server 202.102.134.96  

  13.明確禁止不使用的端口。

  Router(Config)# interface eth0/3 

  Router(Config)# shutdown

三.路由器“路由協(xié)議”的安全配置

  1.首先禁止默認(rèn)啟用的ARP-Proxy,它容易引起路由表的混亂。

  Router(Config)# no ip proxy-arp 或者 

  Router(Config-if)# no ip proxy-arp 

  2.啟用OSPF路由協(xié)議的認(rèn)證。默認(rèn)的OSPF認(rèn)證密碼是明文傳輸?shù)?,建議啟用MD5認(rèn)證。

  并設(shè)置一定強(qiáng)度密鑰(key,相對(duì)的路由器必須有相同的Key)。

  Router(Config)# router ospf 100 

  Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100 

  ! 啟用MD5認(rèn)證。 

  ! area area-id authentication 啟用認(rèn)證,是明文密碼認(rèn)證。 

  !area area-id authentication message-digest 

  Router(Config-router)# area 100 authentication message-digest 

  Router(Config)# exit 

  Router(Config)# interface eth0/1 

  !啟用MD5密鑰Key為routerospfkey。 

  !ip ospf authentication-key key 啟用認(rèn)證密鑰,但會(huì)是明文傳輸。 

  !ip ospf message-digest-key key-id(1-255) md5 key 

  Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey 

  3.RIP協(xié)議的認(rèn)證。只有RIP-V2支持,RIP-1不支持。建議啟用RIP-V2。

  并且采用MD5認(rèn)證。普通認(rèn)證同樣是明文傳輸?shù)摹?/p>

  Router(Config)# config terminal 

  ! 啟用設(shè)置密鑰鏈 

  Router(Config)# key chain mykeychainname 

  Router(Config-keychain)# key 1 

  !設(shè)置密鑰字串 

  Router(Config-leychain-key)# key-string MyFirstKeyString 

  Router(Config-keyschain)# key 2 

  Router(Config-keychain-key)# key-string MySecondKeyString 

  !啟用RIP-V2 

  Router(Config)# router rip 

  Router(Config-router)# version 2 

  Router(Config-router)# network 192.168.100.0 

  Router(Config)# interface eth0/1 

  ! 采用MD5模式認(rèn)證,并選擇已配置的密鑰鏈 

  Router(Config-if)# ip rip authentication mode md5 

  Router(Config-if)# ip rip anthentication key-chain mykeychainname  

  4.啟用passive-interface命令可以禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口。

  建議對(duì)于不需要路由的端口,啟用passive-interface。

  但是,在RIP協(xié)議是只是禁止轉(zhuǎn)發(fā)路由信息,并沒有禁止接收。在OSPF協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由信息。

  ! Rip中,禁止端口0/3轉(zhuǎn)發(fā)路由信息 

  Router(Config)# router Rip 

  Router(Config-router)# passive-interface eth0/3  

  !OSPF中,禁止端口0/3接收和轉(zhuǎn)發(fā)路由信息 

  Router(Config)# router ospf 100 

  Router(Config-router)# passive-interface

關(guān)鍵詞:Cisco,路由安全配置

閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!

  • 0 歡迎喜歡
  • 0 白癡
  • 0 拜托
  • 0 哇
  • 0 加油
  • 0 鄙視