思科路由器简易安全配置

   很多初级网络管理员在使用思科路由器时都会忽略安全设置,以下三个方面非常适合初级的应用者在使用思科路由器时对网络安全进行配置。

  一,路由器“访问控制”的安全配置

  1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。

  2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。

  3,严格控制CON端口的访问。具体的措施有:

  A,如果可以开机箱的,则可以切断与CON口互联的物理线路。

  B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。

  C,配合 使用访问控制列表控制对CON口的访问。

  如:Router(Config)#Access-list 1 permit 192.168.0.1

  Router(Config)#line con 0

  Router(Config-line)#Transport input none

  Router(Config-line)#Login local

  Router(Config-line)#Exec-timeoute 5 0

  Router(Config-line)#access-class 1 in

  Router(Config-line)#end

  D,给CON口设置高强度的密码。

  4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:

  Router(Config)#line aux 0

  Router(Config-line)#transport input none

  Router(Config-line)#no exec

  5,建议采用权限分级策略。如:

  Router(Config)#username BluShin privilege 10 G00dPa55w0rd

  Router(Config)#privilege EXEC level 10 telnet

  Router(Config)#privilege EXEC level 10 show ip access-list

  6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。

  7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。

  8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:

  Router(Config)#ip ftp username BluShin

  Router(Config)#ip ftp password 4tppa55w0rd

  Router#copy startup-config ftp:

  9,及时的升级和修补IOS软件。

  二,路由器“网络服务”的安全配置

  1,禁止CDP(Cisco Discovery Protocol)。如:

  Router(Config)#no cdp run

  Router(Config-if)# no cdp enable

  2,禁止其他的TCP、UDP Small服务。

  Router(Config)# no service tcp-small-servers

  Router(Config)# no service udp-samll-servers

  3,禁止Finger服务。

  Router(Config)# no ip finger

  Router(Config)# no service finger

  4,建议禁止HTTP服务。

  Router(Config)# no ip http server

  如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。如:

  Router(Config)# username BluShin privilege 10 G00dPa55w0rd

  Router(Config)# ip http auth local

  Router(Config)# no access-list 10

  Router(Config)# access-list 10 permit 192.168.0.1

  Router(Config)# access-list 10 deny any

  Router(Config)# ip http access-class 10

  Router(Config)# ip http server

  Router(Config)# exit

  5,禁止BOOTp服务。

  Router(Config)# no ip bootp server

  禁止从网络启动和自动从网络下载初始配置文件。

  Router(Config)# no boot network

  Router(Config)# no servic config

  6,禁止IP Source Routing。

  Router(Config)# no ip source-route

  7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。

  Router(Config)# no ip proxy-ar

  Router(Config-if)# no ip proxy-ar

  8,明确的禁止IP Directed Broadcast。

  Router(Config)# no ip directed-broadcast

  9,禁止IP Classless。

  Router(Config)# no ip classless

  10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。

  Router(Config-if)# no ip unreacheables

  Router(Config-if)# no ip redirects

  Router(Config-if)# no ip mask-reply

  11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:

  Router(Config)# no snmp-server community public Ro

  Router(Config)# no snmp-server community admin RW

  Router(Config)# no access-list 70

  Router(Config)# access-list 70 deny any

  Router(Config)# snmp-server community MoreHardPublic Ro 70

  Router(Config)# no snmp-server enable traps

  Router(Config)# no snmp-server system-shutdown

  Router(Config)# no snmp-server trap-anth

  Router(Config)# no snmp-server

  Router(Config)# end

  12,如果没必要则禁止WINS和DNS服务。

  Router(Config)# no ip domain-looku

  如果需要则需要配置:

  Router(Config)# hostname Router

  Router(Config)# ip name-server 202.102.134.96

  13,明确禁止不使用的端口。

  Router(Config)# interface eth0/3

  Router(Config)# shutdown

时间: 2024-12-22 03:49:27

思科路由器简易安全配置的相关文章

思科路由器及安全配置工具(SDM)

产品简介 Cisco SDM 是一种直观且基于 Web 的设备管理工具,用来管理以 Cisco IOS 软件为基础的路由器.Cisco SDM 可通过智能向导简化路由器及安全配置过程,对于客户及 Cisco 合作伙伴而言,有了这些向导,不必对命令行接口(CLI)有专门的了解,就能快速便捷地部署.配置和监控 Cisco Systems 路由器. SDM的关键特性 易用性针对思科路由器的路由.交换.安全.QoS管理的图形化用户界面 应用智能关于不同IOS功能之间的交互.行业最佳实践和TAC推荐配置的

思科路由器的DM VPN配置过程

在本文中,我们以图解教程的方式为您详解思科路由器的DM VPN配置过程.

思科路由器IKEV2 L2LVPN预共享密码认证最简化配置

一.概述: 思科路由器对于IKEV2,是有很多预配的,因此可以很少的配置就能完成IKEV2的配置. 二.基本思路: A.两边都用SVTI的方式配置Flex VPN B.没有用动态路由,配置静态路由,如果一边用DVTI,则需要两边配置静态路由 三.测试拓扑: 四.Flex VPN的配置: A.R2: crypto ikev2 keyring KeyRing peer 202.100.2.1 address 202.100.2.1 pre-shared-key cisco crypto ikev2

思科路由器配置的特点

  一.I0S进程 I0S进程是一个在路由器上运行的特殊软件任务,主要用于实现某种功能.当我们将命令放人配置文件对I0S进行配置时,实际就相当于对构成10S各进程的行为加以控制,所有这些进程都在路由器上同时运行.至于能在一个路由器上运行的进程数量和种类,则取决于路由器CPU的速度以及安装的RAM容量,这类似于PC上运行的程序数取决于CPU的类型以及配备的RAM容量. 二.启动思科路由器配置 启动配置驻留在NVRAM中,包含了希望在路由器启动时执行的配置命令.启动完成后,启动配置中的命令就变成了运

教你利用脚本配置进行思科路由器配置

利用脚本配置进行 思科路由器配置之前,你要明确自己想要进行那些操作,执行那些命令, 然后进行脚本的编写. 我要进行running- configure配置的备份操作,当然,设备早已经配置好了,tftp服务器也准备好了.思科路由器配置 如下:BT无线网络破解: usernameccieprivilege15password0ccie ! interfaceFastEthernet0/0 noipaddress shutdown duplexautospeedauto ! interfaceFast

配置-思科路由器设置,求ping通

问题描述 思科路由器设置,求ping通 已知:内部局域网tracert服务器0的结果为:192.168.0.10>172.168.100.10>100.100.100.50>100.100.100.100:tracert服务器1的结果为:192.168.0.10>172.168.100.20>200.200.200.40>200.200.200.200请教:两个路由器的配置

正确配置思科路由器口令从而保障网络安全

[51CTO.com 专家特稿]网络的安全管理涉及到许多方面,但纵观许多安全事件,可以得到一个基本的结论,危害都是由于 忽视了基本的安全措施而造成的.本文将讨论维护思科路由器口令安全的重要性,解释思科路由器IOS的三种模式,并向读者展示如何配置五大口令保护网络安全. 借助口令保障路由器安全的原因 首先,作为思科设备的管理员,我们必须 认识到,路由器并不存在什么自动化的口令防御.管理员必须认真对待思科设备的口令设置问题.思科设备运行的灵魂是IOS,它有不同的模式.这些模式是分等级设置的,这意味着访

一步步教你配置NAT(思科路由器篇)

本文主要给大家详细的介绍了如何配置NAT,配置网络环境以及附属功能,并且给出了详细的配置步骤,以及配置操作,相信 看过此文会对你有所帮助,1.网络环境:内网用户IP地址为10.83.91.0/255.255.255.0,路由器使用的是CISCO公司出品的2600产品,该产品有两个以太网口供我们使用.网口一连接外网,IP地址为公网地址:网口二连接内网,IP地址为私网地址.2. 配置过程:公司希望在路由器上配置NAT功能,让内网中的用户使用NAT访问外网.2600系列路由器上已经配置了外网接口IP为

思科路由器及交换机的基本管理

设备的管理是维护设备正常运行的基本条件,所以这里我们就来了解一下思科路由器和交换机的一些基本管理命令和方法. 管理路由器和交换机的方法以及命令主要分为一下几个方面: 1.了解命令行的模式. 2.配置接口的IP地址以及相关的路由条目. 3.路由器.交换机密码的管理. 4.远程管理路由器.交换机. 5.系统IOS的备份与恢复. 一.了解命令行的模式 1)用户模式 默认进入的是用户模式,在该模式下用户受到极大的限制,只能用来查看一些统计信息. route>    #路由器的用户模式 switch>