Cisco路由器交换机安全配置.doc

Cisco路由器交换机安全配置 一、 网络结构及安全脆弱性　　为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：　　1. DDOS攻击　　2. 非法授权 ...一、 网络结构及安全脆弱性 　　为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁： 　　1. DDOS攻击 　　2. 非法授权访问攻击。 　　口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。 　　3.IP地址欺骗攻击 　　…. 　　利用Cisco Router和Switch可以有效防止上述攻击。 　　二、保护路由器 　　2.1 防止来自其它各省、市用户Ddos攻击 　　最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。 　　Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。 　　如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗，结合ping就可以实现DDOS攻击。 　　防范措施： 　　应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击。 以下是引用片段：　　Router(config-t)#no service finger 　　Router(config-t)#no service pad 　　Router(config-t)#no service udp-small-servers 　　Router(config-t)#no service tcp-small-servers 　　Router(config-t)#no ip http server 　　Router(config-t)#no service ftp 　　Router(config-t)#no ip bootp server 　　以上均已经配置。 　　防止ICMP-flooging攻击。 以下是引用片段：　　Router(config-t)#int e0 　　Router(config-if)#no ip redirects 　　Router(config-if)#no ip directed-broadcast 　　Router(config-if)#no ip proxy-arp 　　Router(config-t)#int s0 　　Router(config-if)#no ip redirects 　　Router(config-if)#no ip directed-broadcast 　　Router(config-if)#no ip proxy-arp 　　以上均已经配置。 　　除非在特别要求情况下，应关闭源路由: 以下是引用片段：　　Router(config-t)#no ip source-route 　　以上均已经配置。 　　禁止用CDP发现邻近的cisco设备、型号和软件版本。 以下是引用片段：　　Router(config-t)#no cdp run 　　Router(config-t)#int s0 　　Router(config-if)#no cdp enable 　　如果使用works2000网管软件，则不需要此项操作，此项未配置。 　　使用CEF转发算法，防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。 以下是引用片段：　　Router(config-t)#ip cef 2.2 防止非法授权访问 　　通过单向算法对 “enable secret”密码进行加密。 以下是引用片段：Router(config-t)#enable secret Router(config-t)#no enable password Router(config-t)#service password-encryption?vty端口的缺省空闲超时为10分0秒 Router(config-t)#line vty 0 4 Router(config-line)#exec-timeout 10 0 　　应该控制到VTY的接入，不应使之处于打开状态;Console应仅作为最后的管理手段: 　　如只允许30 Host 能够用Telnet访问。 以下是引用片段：　　access-list 110 permit ip 30 54 log 　　line vty 0 4 　　access-class 101 in 　　exec-timeout 5 0 　　2.3 使用基于用户名和