cisco路由器安全配置精要.docVIP

CISCO 路由器安全配置 路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,对于远程访问路由器，建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问，给CON口设置高强度的密码。 4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止命令为： Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 5,建议采用权限分级策略。如： Router(Config)#username BluShin privilege 10 G00dPa55w0rd Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip Access-list 6,为特权模式的进入设置强壮的密码。不要采用enable passWord设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。需要设置强壮的密码。由于VTY在网络的传输过程中不加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如： Router(Config)#ip ftp username BluShin Router(Config)#ip ftp password 4tppa55w0rd Router#copy startup-config ftp: 9,及时的升级和修补IOS软件。 二、路由器网络服务安全配置 1、禁止CDP(Cisco Discovery Protocol)。如： Router(Config)#no cdp run Router(Config-if)# no cdp enable 2、禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-small-servers 3、禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4、禁止HTTP服务。Router(Config)# no ip http server 5、禁止BOOTp服务。 Router(Config)# no ip bootp server 禁止从网络启动和自动从网络下载初始配置文件。 Router(Config)# no boot network Router(Config)# no servic config 6、禁止IP Source Routing。 Router(Config)# no ip source-route 7、建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。 Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp 8、明确的禁止IP Directed Broadcast。 Router(Config)# no ip directed-broadcast 9、禁止IP Classless。 Router(Config)# no ip classless 10、禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。 Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply 11、建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如： Router(Config)# no snmp-server community ro Router(Config)# no snmp-server community rw 三、路由器防止攻击的安全配置 1、TCP SYN的防范。如： A: 通过访问列表防范。 Router(Config)# no access