解析网络设备的IOS安全.docVIP

? 解析网络设备的IOS安全 交换机和路由器是计算机网络最常用的网络设备，其安全性将直接影响到整个网络的可用性和稳定性，对于网络安全起着至关重要的作用。尤其是网络路由器，作为局域网中唯一暴露在Internet中的设备，更是常常经受恶意攻击。路由器和交换机一旦被攻破，那么，网络安全和正常运行也就无从谈起了。 IOS（Internet Operation System Software，网际操作系统）是Cisco公司跨越主要路由和交换产品的软件平台，类似于计算机的操作系统，难免会存在系统漏洞，而针对网络设备的攻击利用的就是IOS自身的漏洞。因此，必须启用基于IOS的基本安全配置，如设置密码、关闭多余服务、启用加密传输等。 16.1 ?登录密码安全 Cisco的Enable密码与Windows的Administrator密码作用和重要性类似。一方面，只有使用Enable密码，才能实现对交换机的配置和管理。另一方面，只要得到Enable密码，就可以对交换机进行任意配置和管理。 ?? 16.1.1? 配置Enable密码 Cisco的Enable密码（如图16-1所示）有两种类型，即“secret password”和“password”。其中，前者被加密存储，安全性较强，后者则未被加密，安全性较差。因此，从安全的角度考虑，应当使用更加安全的“secret password”。 图16-1? Enable密码 “secret password”较“password”的级别更高，当设置了secret password后，将不再能够使用password。两种密码对大小写都敏感，也就是说，它们认为大写字母“A”与小写字母“a”是两种不同的符号，所以，必须牢记该密码。 默认状态下，Cisco设备的Enable密码为空，所以，在对交换机进行初始配置时，必须为其设置Enable密码。 Enable密码配置过程如下。 第1步，进入全局配置模式。 Cisco# configure terminal 第2步，为特权模式指定新的Enable密码。Enable密码可包括1~25个大写和/或小写字母，也可以包括数字。密码长度应当大于6个字符，并且应当包含大小写字母和数字的无意义的字符串。访问级别（level）可取值范围为0~15，级别1（Level 1）是normal user EXEC模式，拥有最低权限。级别15是privileged EXEC模式，拥有最高权限。默认级别是15。 Cisco(config)# enable secret [level level] password 或 Cisco(config)# enable password [level level] password 密码的第1个字符不能是数字。当有多个网络管理员时，可以为不同的级别分别设置不同的访问密码。这样，既可以让他们查看网络配置，诊断网络故障；同时，又可以保障网络设备的配置安全。 第3步，加密新的密码。 Cisco(config)# service password-encryption 第4步，返回特权模式。 Cisco(config)# end 第5步，保存修改后的配置。 Cisco# copy running-config startup-config ?? 16.1.2? 配置Telnet密码 当为网络设备设置了管理IP地址后，就可以借助“超级终端”或“Telnet”以IP地址方式远程访问和管理该设备了。默认情况下，没有为Telnet设置密码。因此，为了网络设备的安全管理，必须设置Telnet密码，如图16-2所示。 图16-2? Telnet密码 配置Telnet密码的过程如下。 第1步，进入全局配置模式。 Cisco# configure terminal 第2步，输入Telnet进程号，进入Line配置模式。在一台交换机和路由器上，最多可以实现16个Telnet进程，方便多个用户同时查看和管理。“0 15”表明配置所有可能的16个进程。 Cisco(config)# line vty 0 15 第3步，指定Telnet密码。Telnet密码设置要求与Enable相同。 Cisco(config)# password password 第4步，返回特权模式。 Cisco(config)# end 第5步，保存修改后的配置。 Cisco# copy running-config startup-config ?? 16.1.3? 配置管理用户 除了可以为Admin超级用户账户设置密码外，还可以自己创建若干个管理用户（如图16-3所示），并为这些用户分别指定不同的级别，从而实现对网络设备的分级管理。 ? 图16-3? 用户登录 管理用户配置过程如下。 第1步，进入全局