整理Cisco路由器安全配置簡易方案_第1頁
整理Cisco路由器安全配置簡易方案_第2頁
整理Cisco路由器安全配置簡易方案_第3頁
整理Cisco路由器安全配置簡易方案_第4頁
整理Cisco路由器安全配置簡易方案_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、一,路由器訪問限制的平安配置1, 嚴(yán)格限制可以訪問路由器的治理員.任何一次維護都需要記錄備案.2, 建議不要遠(yuǎn)程訪問路由器.即使需要遠(yuǎn)程訪問路由器,建議使用訪問限制列表和高強度的 密碼限制.3嚴(yán)格限制CON端口的訪問.具體的舉措有 :A, 如果可以開機箱的,那么可以切斷與COW互聯(lián)的物理線 路.B, 可以改變默認(rèn)的連接屆性,例如修改波特率(默認(rèn)是 96000,可以改為其他的).C, 配合 使用訪問限制列表限制對 COW的訪問.如:Router(Config)#Access-list1 permit Router(Config)#line con 0Router(Confi

2、g-line)#Transport input noneRouter(Config-line)#Login localRouter(Config-line)#Exec-timeoute 5 0Router(Config-line)#access-class 1 inRouter(Config-line)#endD, 給COW設(shè)置高強度的密碼.4, 如果不使用AUX端口,那么禁止這個端口.默認(rèn)是未被啟用.禁止如 :Router(Config)#line aux 0Router(Config-line)#transport input noneRouter(Config-line)#no exec

3、5, 建議采用權(quán)限分級策略.如:Router(Config)#username BluShin privilege 10 G00dPa55w0rdRouter(Config)#privilege EXEC level 10 telnetRouter(Config)#privilege EXEC level 10 show ip access-list6, 為特權(quán)模式的進入設(shè)置強壯的密碼.不要采用enable password設(shè)置密碼.而要采用 enablesecret命令設(shè)置.并且要啟用Service password-encryption.7, 限制對VTY的訪問.如果不需要遠(yuǎn)程訪問那么禁止

4、它.如果需要那么一定要設(shè)置強壯的密碼.由于VTY在網(wǎng)絡(luò)的傳輸過程中為 加密,所以需要對其進行嚴(yán)格的限制.如:設(shè)置強壯的密碼;限制連接的并發(fā)數(shù)目;采用訪問列表嚴(yán)格限制訪問的地址;可以采用AAA設(shè)置用戶的訪問控制等.8,IOS的升級和備份,以及配置文件的備份建議使用FTP代替TFTP.如:Router(Config)#ip ftp username BluShinRouter(Config)#ip ftp password 4tppa55w0rdRouter#copy startup-config ftp:9,及時的升級和修補IOS軟件.二,路由器網(wǎng)絡(luò)效勞平安配置1, 禁止 CDP(Cisco D

5、iscovery Protocol) .如:Router(Config)#no cdp runRouter(Config-if)# no cdp enable2, 禁止其他的TCP UDP Small效勞.Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers3, 禁止Finger效勞.Router(Config)# no ip fingerRouter(Config)# no service finger4, 建議禁止 效勞.Router(Config)# no ip s

6、erver如果啟用了 效勞那么需要對其進行平安配置 設(shè)置用戶名和密碼;采用訪問列表進行限制.如Router(Config)# username BluShin privilege 10 G00dPa55w0rdRouter(Config)# ip auth localRouter(Config)# no access-list 10Router(Config)# access-list 10 permit Router(Config)# access-list 10 deny anyRouter(Config)# ip access-class 10Router(Conf

7、ig)# ip serverRouter(Config)# exit5, 禁止BOOTp艮務(wù).Router(Config)# no ip bootp server禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件.Router(Config)# no boot networkRouter(Config)# no servic config6, 禁止 IP Source Routing .Router(Config)# no ip source-route7, 建議如果不需要ARP-Proxy效勞那么禁止它,路由器默認(rèn) 識開啟的.Router(Config)# no ip proxy-arpRouter

8、(Config-if)# no ip proxy-arp8, 明確的禁止 IP Directed Broadcast .Router(Config)# no ip directed-broadcast9, 禁止 IP Classless .Router(Config)# no ip classless10, 禁止 ICMP協(xié)議的 IP Unreachables,Redirects,Mask Replies.Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no i

9、p mask-reply11, 建議禁止SNM物議效勞.在禁止時必須刪除一些SNM 效勞的默認(rèn)配置.或者需要訪問列表來過濾.如:Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RWRouter(Config)# no access-list 70Router(Config)# access-list 70 deny anyRouter(Config)# snmp-server communityMoreHardPublic Ro 70Router(C

10、onfig)# no snmp-server enable trapsRouter(Config)# no snmp-server system-shutdownRouter(Config)# no snmp-server trap-anthRouter(Config)# no snmp-serverRouter(Config)# end12, 如果沒必要那么禁止 WIN拚日DNSS務(wù).Router(Config)# no ip domain-lookup如果需要那么需要配置:Router(Config)# hostname RouterRouter(Config)# ip name-serv

11、er 613, 明確禁止不使用的端口.Router(Config)# interface eth0/3Router(Config)# shutdown三,路由器路由協(xié)議平安配置(責(zé)任編輯1, 首先禁止默認(rèn)啟用的ARP-Proxy,它容易引起路由表的 混亂.Router(Config)# no ip proxy-arp 或者Router(Config-if)# no ip proxy-arp2, 啟用OSPFM由協(xié)議的認(rèn)證.默認(rèn)的OSP弘證密碼是明 文傳輸?shù)?建議啟用MD弘證.并設(shè)置一定強度密鑰(key,相對的路由器必須有相同的 Key).Router(Config)#

12、 router ospf 100Router(Config-router)# network 55 area 100!啟用MD弘證.! area area-id authentication啟用認(rèn)證,是明文密碼認(rèn)證.!area area-id authentication message-digestRouter(Config-router)# area 100 authentication message-digestRouter(Config)# exitRouter(Config)# interface eth0/1!啟用 MD商鑰 Key 為 r

13、outerospfkey .!ip ospf authentication-key key 啟用認(rèn)證密鑰,但會 是明文傳輸.!ip ospf message-digest-key key-id(1-255) md5 keyRouter(Config-if)# routerospfkeyip ospf message-digest-key 1 md53,RIP協(xié)議的認(rèn)證.議啟用RIP-V2.只有RIP-V2支持,RIP-1不支持.建并且采用MD5VI證普通認(rèn)證同樣是明文傳輸?shù)?Router(Config)# config terminal!啟用設(shè)置密鑰鏈Router(Config)# key c

14、hain mykeychainnameRouter(Config-keychain)# key 1!設(shè)置密鑰字申Router(Config-leychain-key)# key-stringMyFirstKeyStringRouter(Config-keyschain)# key 2Router(Config-keychain-key)# key-stringMySecondKeyString !啟用 RIP-V2Router(Config)# router ripRouter(Config-router)# version 2Router(Config-router)# network 19

15、Router(Config)# interface eth0/1!采用MD5莫式認(rèn)證,并選擇已配置的密鑰鏈Router(Config-if)# ip rip authentication mode md5Router(Config-if)# ip rip anthentication key-chainmykeychainname4, 啟用passive-interface命令可以禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口.建議對丁不需要路由的端口,啟用 passive-interface .但是,在RIP協(xié)議是只是禁止轉(zhuǎn)發(fā)路由信息,并沒有禁止 接收.在OSP初議中是禁止轉(zhuǎn)發(fā)

16、和接收路由信息.! Rip中,禁止端口 0/3轉(zhuǎn)發(fā)路由信息Router(Config)# router RipRouter(Config-router)# passive-interface eth0/3!OSPF中,禁止端口 0/3接收和轉(zhuǎn)發(fā)路由信息Router(Config)# router ospf 100Router(Config-router)# passive-interface eth0/35, 啟用訪問列表過濾一些垃圾和惡意路由信息,限制網(wǎng)絡(luò) 的垃圾信息流.Router(Config)# access-list 10 deny 55Route

17、r(Config)# access-list 10 permit any!禁止路由器接收更新網(wǎng)絡(luò)的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 in!禁止路由器轉(zhuǎn)發(fā)傳播網(wǎng)絡(luò)的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 out6, 建議啟用 IP Unicast Reverse-Path Verification .它能夠檢查源IP地址的

18、準(zhǔn)確性,從而可以預(yù)防一定的IP Spooling.但是它只能在啟用 CEF(Cisco Express Forwarding) 的路 由器上使用.Router# config t!啟用CEFRouter(Config)# ip cef!啟用 Unicast Reverse-Path VerificationRouter(Config)# interface eth0/1Router(Config)# ip verify unicast reverse-path四,路由器其他平安配置1, 及時的升級IOS軟件,并且要迅速的為IOS安裝補丁.2, 要嚴(yán)格認(rèn)真的為IOS作平安備份.3, 要為路由器的

19、配置文件作平安備份.4, 購置UPS設(shè)備,或者至少要有冗余電源.5, 要有完備的路由器的平安訪問和維護記錄日志.6, 要嚴(yán)格設(shè)置登錄Banner.必須包含非授權(quán)用戶禁止登 錄的字樣.7, IP欺騙得簡單防護.如過濾非公有地址訪問內(nèi)部網(wǎng)絡(luò).過濾自己內(nèi)部網(wǎng)絡(luò)地址;回環(huán)地址(/8);RFC191瞅有地址;DHCP自定義地址(/16);科學(xué)文檔作者測試用地址(/24);不用的組播地址(/4);SUN司的古老的測試地址(/24;/23); 全網(wǎng)絡(luò)地址(/8).Router

20、(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論