1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 通信/网络

Cisco路由器的安全配置方案.docxVIP

  • 0
  • 0
  • 约9.36千字
  • 约 7页
  • 2026-02-13 发布于山东
  • 举报

Cisco路由器的安全配置方案.docx

    Cisco路由器的平安配置方案

    一,路由器访咨询操纵的平安配置

    1,严格操纵能够访咨询路由器的治理员。任何一次维护都需要记录备案。

    2,建议不要远程访咨询路由器。即使需要远程访咨询路由器,建议使用访咨询操纵列表和高强度的密码操纵。

    3,严格操纵CON端口的访咨询。具体的措施有:

    A,要是能够开机箱的,那么能够切断与CON口互联的物理线路。

    B,能够改变默认的连接属性,例如修改波特率(默认是96000,能够改为其他的)。

    C,配合使用访咨询操纵列表操纵对CON口的访咨询。

    如:Router(Config)#Access-list1permit

    Router(Config)#linecon0

    Router(Config-line)#Transportinputnone

    Router(Config-line)#Loginlocal

    Router(Config-line)#Exec-timeoute50

    Router(Config-line)#access-class1in

    Router(Config-line)#end

    D,给CON口设置高强度的密码。

    4,要是不使用AUX端口,那么禁止那个端口。默认是未被启用。禁止如:

    Router(Config)#lineaux0

    Router(Config-line)#transportinputnone

    Router(Config-line)#noexec

    5,建议采纳权限分级策略。如:

    Router(Config)#usernameBluShinprivilege10G00dPa55w0rd

    Router(Config)#privilegeEXEClevel10telnet

    Router(Config)#privilegeEXEClevel10showipaccess-list

    6,为特权模式的进进设置强壮的密码。不要采纳enablepassword设置密码。而要采纳enablesecret命令设置。同时要启用Servicepassword-encryption。

    7,操纵对VTY的访咨询。要是不需要远程访咨询那么禁止它。要是需要那么一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,因此需要对其进行严格的操纵。如:设置强壮的密码;操纵连接的并发数目;采纳访咨询列表严格操纵访咨询的地址;能够采纳AAA设置用户的访咨询操纵等。

    8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:

    Router(Config)#ipftpusernameBluShin

    Router(Config)#ipftppassword4tppa55w0rd

    Router#copystartup-configftp:

    9,及时的升级和修补IOS软件。

    二,路由器网络效劳平安配置

    1,禁止CDP(CiscoDiscoveryProtocol)。如:

    Router(Config)#nocdprun

    Router(Config-if)#nocdpenable

    2,禁止其他的TCP、UDPSmall效劳。

    Router(Config)#noservicetcp-small-servers

    Router(Config)#noserviceudp-samll-servers

    3,禁止Finger效劳。

    Router(Config)#noipfinger

    Router(Config)#noservicefinger

    4,建议禁止效劳。

    Router(Config)#noipserver

    要是启用了效劳那么需要对其进行平安配置:设置用户名和密码;采纳访咨询列表进行操纵。如:

    Router(Config)#usernameBluShinprivilege10G00dPa55w0rd

    Router(Config)#ipauthlocal

    Router(Config)#noaccess-list10

    Router(Config)#access-list10permit

    Router(Config)#access-list10denyany

    Router(Config)#ipaccess-class10

    Router(Config)#ipserver

    Router(Config)#exit

    5,禁止BOOTp效劳。

    Router(Config)#noipbootpserver

    禁止从网络启动和自动从网络下载初始配置文件。

    Router(Config)#nobootnetwork

    Router(Config)#noservicconfig

    6,禁止IPSourceRouting。

    Router(Config)#noipsource-route

    7,建议要是不需要ARP-Proxy效劳那么禁止它,路由器默熟悉开启的。

    R

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >