还剩5页未读,继续阅读
文本内容:
Cisco路由器的平安配置电脑资料一路由器访问控制的平安配置1严格控制可以访问路由器的员,2建议不要远程访问路由器即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制3严格控制CON端口的访问详细的措施有A假如可以开机箱的,那么可以切断与CON口互联的物理线路B可以改变默认的连接属性,例如修改波特率默认是96000,可以改为其他的C配合使用访问控制列表控制对CON口的访问如RouterConfig#Aess-list1permit
192.
168.
0.1RouterConfig#linecon0RouterConfig-line#TransportinputnoneRouterConfig-line#LoginlocalRouterConfig-line#Exec-timeoute50RouterConfig-line#aess-class1inRouterConfig-line#endD给CON口设置高强度的密码4假如不使用AUX端口,那么制止这个端口默认是未被启用制止如RouterConfig#lineaux0RouterConfig-line#transportinputnoneRouterConfig-line#noexec5建议采用权限分级策略如RouterConfig#usernameBluShinprivilege10G00dPa55w0rdRouterConfig#privilegeEXEClevel10telRouterConfig#privilegeEXEClevel10showipaess-list6为特权形式的进入设置强壮的密码不要采用enablepassword设置密码而要采用enablesecret命令设置并且要启用Servicepassword-encryption7控制对VTY的访问假如不需要远程访问那么制止它假如需要那么一定要设置强壮的密码由于VTY在网络的传输过程中为加密,所以需要对其进展严格的控制如设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等8IOS的晋级和备份,以及配置文件的备份建议使用FTP代替TFTP如RouterConfig#ipftpusernameBluShinRouterConfig#ipftppassword4tppa55w0rdRouter#copystartup-configftp:9及时的晋级和修补IOS软件二路由器网络效劳平安配置1制止CDPCiscoDiscoveryProtocol如RouterConfig#nocdprunRouterConfig-if#nocdpenable2制止其他的TCP、UDPSmall效劳RouterConfig#noservicetcp-small-serversRouterConfig#noserviceudp-samll-servers3制止Finger效劳RouterConfig#noipfingerRouterConfig#noservicefinger4建议制止效劳RouterConfig#noipserver假如启用了效劳那么需要对其进展平安配置设置用户名和密码;采用访问列表进展控制如RouterConfig#usernameBluShinprivilege10G00dPa55w0rdRouterConfig#ipauthlocalRouterConfig#noaess-list10RouterConfig#aess-list10permit
192.
168.
0.1RouterConfig#aess-list10denyanyRouterConfig#ipaess-class10RouterConfig#ipserverRouterConfig#exit5制止BOOTp效劳RouterConfig#noipbootpserver制止从网络启动和自动从网络下载初始配置文件RouterConfig#nobootworkRouterConfig#noservicconfig6制止IPSourceRoutingRouterConfig#noipsource-route7建议假如不需要ARP-Proxy效劳那么制止它,路由器默认识开启的RouterConfig#noipproxy-arpRouterConfig-if#noipproxy-arp8明确的制止IPDirectedBroadcastRouterConfig#noipdirected-broadcast9制止IPClasslessRouterConfig#noipclassless10制止ICMP协议的IPUnreachablesRedirectsMaskRepliesRouterConfig-if#noipunreacheablesRouterConfig-if#noipredirectsRouterConfig-if#noipmask-reply11建议制止SNMP协议效劳在制止时必须删除一些SNMP效劳的默认配置或者需要访问列表来过滤如RouterConfig#nosnmp-servermunitypublicRoRouterConfig#nosnmp-servermunityadminRWRouterConfig#noaess-list70RouterConfig#aess-list70denyanyRouterConfig#snmp-servermunityMoreHardPublicRo70RouterConfig#nosnmp-serverenabletrapsRouterConfig#nosnmp-serversystem-shutdownRouterConfig#nosnmp-servertrap-anthRouterConfig#nosnmp-serverRouterConfig#end12假如没必要那么制止WINS和DNS效劳,RouterConfig#noipdomain-lookup假如需要那么需要配置RouterConfig#hostnameRouterRouterConfig#ipname-server
202.
102.
134.9613明确制止不使用的端口RouterConfig#interfaceeth0/3RouterConfig#shutdown三路由器路由协议平安配置1首先制止默认启用的ARP-Proxy,它容易引起路由表的RouterConfig#noipproxy-arp或者RouterConfig-if#noipproxy-arp2启用OSPF路由协议的认证默认的OSPF认证密码是明文传输的,建议启用MD5认证并设置一定强度密钥key相对的路由器必须有一样的KeyRouterConfig#routerospf100RouterConfig-router#work
192.
168.
100.
00.
0.
0.255area100!启用MD5认证!areaarea-idauthentication启用认证,是明文密码认证!areaarea-idauthenticationmessage-digestRouterConfig-router#area100authenticationmessage-digestRouterConfig#exitRouterConfig#interfaceeth0/1!启用MD5密钥Key为routerospfkey!ipospfauthentication-keykey启用认证密钥,但会是明文传输!ipospfmessage-digest-keykey-id1-255md5keyRouterConfig-if#ipospfmessage-digest-key1md5routerospfkey3RIP协议的认证只有RIP-V2支持,RIP-1不支持建议启用RIP-V2并且采用MD5认证普通认证同样是明文传输的RouterConfig#configterminal!启用设置密钥链RouterConfig#keychainmykeychainnameRouterConfig-keychain#key1!设置密钥字串RouterConfig-leychain-key#key-stringMyFirstKeyStringRouterConfig-keyschain#key2RouterConfig-keychain-key#key-stringMySecondKeyString!启用RIP-V2RouterConfig#routerripRouterConfig-router#version2RouterConfig-router#work
192.
168.
100.0RouterConfig#interfaceeth0/1!采用MD5形式认证,并选择已配置的密钥链RouterConfig-if#ipripauthenticationmodemd5RouterConfig-if#ipripanthenticationkey-chainmykeychainname4启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口建议对于不需要路由的端口,启用passive-interface但是,在RIP协议是只是制止转发路由信息,并没有制止接收在OSPF协议中是制止转发和接收路由信息!Rip中,制止端口0/3转发路由信息RouterConfig#routerRipRouterConfig-router#passive-interfaceeth0/3!OSPF中,制止端口0/3接收和转发路由信息RouterConfig#routerospf100RouterConfig-router#passive-interfaceeth0/35启用访问列表过滤一些垃圾和恶意路由信息控制网络的垃圾信息流RouterConfig#aess-list10deny
192.
168.
1.
00.
0.
0.255RouterConfig#aess-list10permitany!制止路由器接收更新
192.
168.
1.0网络的路由信息RouterConfig#routerospf100RouterConfig-router#distribute-list10in!制止路由器转发传播
192.
168.
1.0网络的路由信息RouterConfig#routerospf100RouterConfig-router#distribute-list10out6建议启用IPUnicastReverse-PathVerification它可以检查源IP地址的准确性,从而可以防止一定的IPSpooling但是它只能在启用CEFCiscoExpressForwarding的路由器上使用Router#configt!启用CEFRouterConfig#ipcef!启用UnicastReverse-PathVerificationRouterConfig#interfaceeth0/1RouterConfig#ipverifyunicastreverse-path模板内容仅供参考 。