cisco设备路由协议安全-被动端口.pptVIP

CISCO设备特定安全配置-服务关闭 CDP服务可能被攻击者利用获得路由器的版本等信息，从而进行攻击，所有边界的Cisco设备需要关闭CDP服务。 一些基于TCP和UDP协议的小服务如：echo、chargen等，容易被攻击者利用来越过包过滤机制，建议关闭。 Finger服务可能被攻击者利用查找用户和口令攻击，建议关闭。 NTP不是十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错，建议关闭。 ARP-Proxy服务默认是开启的，容易引起路由表的混乱, 建议关闭。 CISCO设备特定安全配置-服务关闭 禁止ICMP协议的IP Unreachables,Redirects,Mask－Replies功能。 明确的禁止IP Directed Broadcast。 禁止IP Source Routing。 禁止BOOTp服务。 CISCO设备特定安全配置-服务关闭 Cisco路由器默认的对IPv4协议报进行处理，但会导致网络接口拒绝服务，为确保不受到次类型的攻击，可以在接口上禁止 53 (SWIPE) 55 (IP Mobility) 77 (Sun ND) 103 (Protocol Independent Multicast - PIM) CISCO设备安全设置-其他 COM端口的安全：建议控制CONSOLE端口的访问,给CONSOLE口设置高强度的密码，设置超时退出时间等。 AUX端口的安全：由于默认打开，在不使用AUX端口时，则禁止这个端口。 空闲物理端口的安全：如确认端口（Interface）不使用，使用shutdown命令关闭。 Banner的设置：对远程登陆的banner的设置要求必须包含非授权用户禁止登录的字样，banner不能包含-设备名、设备型号、设备所有者及设备运行软件信息。 Cisco路由器禁止从网络启动和自动从网络下载初始配置文件。 no boot network no service config CISCO设备安全维护-路由器快照 为防止意外情况的发生，可对运行的路由器进行快照保存。 路由器的快照需要保存两个信息： 当前的配置-running config 当前的开放端口列表 CISCO设备安全维护-常用命令 Terminal monitor Show users Show version Show clock Show logging Show arp Clear line vty … JUNIPER设备安全设置 JUNIPER设备通用安全知识 JUNIPER设备安全设置-访问控制列表 JUNIPER设备安全设置-路由协议安全 JUNIPER设备安全设置-网管安全 JUNIPER设备安全设置-SNMP协议安全 JUNIPER设备安全设置-日志 JUNIPER设备安全设置-特定安全配置 JUNIPER设备通用安全知识 作为电信行业常见的路由设备，JUNIPER设备除了能提供强大的数据交换功能外，还可以提供最基础的网络安全防护功能。 由于JUNIPER设备负担着运营商业务、经营等数据，如何保证JUNIPER设备自身的安全，是网络管理人员首当其冲面临的安全问题。 充分的利用JUNIPER设备自身的安全特性，合理的使用JUNIPER设备的安全配置，可保证运营商网络JUNIPER设备的运行安全。 JUNIPER设备通用安全知识 访问控制：JUIPER路由器具有强大的访问控制能力，在设备的访问控制能力包括：远程登录控制能力、snmp的认证、路由协议的认证、IP地址限制、流量控制等。 数据加密：JUNOS除了普通的明文telnet连接之外，能提供标准的SSH连接。JUNOS可支持SSHv1和/或SSHv2，但需要确认系统加载的版本是否具有安全加密的功能。 日志： JUIPER路由器具有强大的日志功能，可以通过日志记录各种路由器的相关信息，内容包括登陆日志、系统操作命令、异常事件日志、系统故障信息等，并具有通过SYSLOG或snmp trap进行通信的能力。 JUNIPER设备安全设置-访问控制列表 JUNOS的访问控制列表（ACL）功能（JUNOS称之为Firewall Filter）非常强大，可以灵活的创建，以实现众多功能。Juniper路由器采用ASIC芯片来执行ACL的，而且ACL检查都先于转发处理，不会影响设备的转发效能和路由处理。 建议ACL的设置应尽量往网络边缘靠，如在接入层设备和全网出口处。这样能起到更好的防范效果，也包证了网络的整体转发效能不受影响。 JUNIPER设备访问控制列表-访问地址限制 只允许合法的网管网段或网管和维护主机地址作为源地址发起对设备的远程连接，如Telnet、SSH、Http、SNMP、Syslog等。 只允许需要的协议端口能进