教你如何安全配置Cisco路由器交换机

一、 网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，
所以网络具有许多安全脆弱性，因此网络中常面临
如下威胁：1. DDOS攻击2. 非法授权访问攻击。口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。3.IP地址欺骗攻击….利用Cisco Router和Switch可以有效防止上述攻击。二、保护路由器2.1 防止来自其它各省、市用户Ddos攻击最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗，结合ping就可以实现DDOS攻击。防范措施：应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击。以下是引用片段：Router(config-t)#no service finger Router(config-t)#no service pad Router(config-t)#no service udp-small-servers Router(config-t)#no service tcp-small-servers Router(config-t)#no ip http server Router(config-t)#no service ftp Router(config-t)#no ip bootp server 以上均已经配置。 防止ICMP-flooging攻击。以下是引用片段：Router(config-t)#int e0 Router(config-if)#no ip redirects Router(config-if)#no ip directed-broadcast Router(config-if)#no ip proxy-arp Router(config-t)#int s0 Router(config-if)#no ip redirects Router(config-if)#no ip directed-broadcast Router(config-if)#no ip proxy-arp 　　以上均已经配置。除非在特别要求情况下，应关闭源路由:以下是引用片段：Router(config-t)#no ip source-route 以上均已经配置。禁止用CDP发现邻近的cisco设备、型号和软件版本。以下是引用片段：Router(config-t)#no cdp run Router(config-t)#int s0 Router(config-if)#no cdp enable 　　如果使用works2000网管软件，则不需要此项操作，此项未配置。 使用CEF转发算法，防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。以下是引用片段：Router(config-t)#ip cef 2.2 防止非法授权访问通过单向算法对 “enable secret”密码进行加密。以下是引用片段：Router(config-t)#enable secret Router(config-t)#no enable password Router(config-t)#service password-en
cryption?vty端口的缺省空闲超时为10分0秒 Router(config-t)#line vty 0 4 Router(config-line)#exec-timeout 10 0 　　应该控制到VTY的接入，不应使之处于打开状态;
Console应仅作为最后的管理手段: 如只允许130.9.1.130 Host 能够用
Telnet访问。　 以下是引用片段：　access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log line vty 0 4 access-class 101 in exec-timeout 5 0 　　2.3 使用基于用户名和口令的强认证方法 以下是引用片段：Router(config-t)#
username admin pass 5 434535e2 Router(config-t)#aaa new-model Router(config-t)#radius-server host 130.1.1.1 key key-string Router(config-t)#aaa authentication login neteng group radius local Router(config-t)#line vty 0 4 Router(config-line)#login authen neteng 三、保护网络3.1防止IP地址欺骗黑客经常冒充地税局内部网IP地址，获得一定的访问权限。在省地税局和
各地市的WAN Router上配置：防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)。包发
送到某个接口，检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发，若是，转发，否则，丢弃。以下是引用片段：Router(config-t)#ip cef Router(config-t)#interface e0 Router(config-if)# ip verify unicast reverse-path 101 Router(config-t)#access-list 101 permit ip any any log 　　注意：通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。此项已配置。 防止IP地址欺骗配置访问列表防止外部进行对内部进行IP地址:以下是引用片段：Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any Router(config-t)#access-list 190 permit ip any any Router(config-t)#int s4/1/1.1 Router(config-if)# ip access-group 190 in 　　防止内部对外部进行IP地址欺骗: 　 以下是引用片段：　Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any Router(config-t)#int f4/1/0 Router(config-if)# ip access-group 199 in 四、保护服务器对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。以下是引用片段：ip route 130.1.1.1 255.255.255.255.0 null 在WAN Router上配置CBAC,cisco状态防火墙，防止Sync Flood攻击　 以下是引用片段：　hr(config)#int s0/0 hr(config-if)#ip access-group 100 in hr(config)#int f0/0 hr(config-if)#ip inspect insp1 in hr(config)#ip inspect audit-trial hr(config)#ip inspect name insp1 tcp hr(config)#ip inspect max-incomplete high 350 hr(config)#ip inspect max-incomplete low 240 hr(config)#ip audit hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80 　　在WAN Router 上配置IDS入侵检测系统 　 以下是引用片段：　hr(config)#ip audit name audit1 info action alarm hr(config)#ip audit name audit1 attack action alarm drop
reset hr(config)#ip audit audit1 notify log hr(config)#int s0/0 hr(config)#ip audit audit1 in 五、网络运行监视配置
syslog server,将日志信息发送到syslog server上Syslog Server纪录Router的平时运行产生的一些事件，如广域口的up, down, OSPFNeighbour的建立或断开等，它对统计Router的运行状态、流量的一些状态，电信链路的稳定有非常重要的意义，用以指导对网络的改进。 以下是引用片段：Router(config-t)#logg on Router(config-t)#logg 172.5.5.5 Router(config-t)#logg facility local6