史上最細致的Cisco路由安全配置

來源:本站原創 CISCO 超過710 views圍觀 0條評論

很多網絡管理員在剛開始使用思科路由器時都會忽略安全設置,本文介紹的內容非常適合此類應用者在使用思科路由器時對網絡安全進行配置。

一.路由器“訪問控制”的安全配置

1.嚴格控制可以訪問路由器的管理員。任何一次維護都需要記錄備案。

2.建議不要遠程訪問路由器。即使需要遠程訪問路由器,建議使用訪問控制列表和高強度的密碼控制。

3.嚴格控制CON端口的訪問。具體的措施有:

A.如果可以開機箱的,則可以切斷與CON口互聯的物理線路。

B.可以改變默認的連接屬性,例如修改波特率(默認是96000,可以改為其他的)。

C.配合使用訪問控制列表控制對CON口的訪問。

如:Router(Config)#Access-list 1 permit 192.168.0.1

  1. Router(Config)#line con 0 
  2. Router(Config-line)#Transport input none 
  3. Router(Config-line)#Login local 
  4. Router(Config-line)#Exec-timeoute 5 0 
  5. Router(Config-line)#access-class 1 in 
  6. Router(Config-line)#end

D.給CON口設置高強度的密碼。

4.如果不使用AUX端口,則禁止這個端口。默認是未被啟用。禁止如:

  1. Router(Config)#line aux 0 
  2. Router(Config-line)#transport input none 
  3. Router(Config-line)#no exec

5.建議采用權限分級策略。如:

  1. Router(Config)#username BluShin privilege 10 G00dPa55w0rd 
  2. Router(Config)#privilege EXEC level 10 telnet 
  3. Router(Config)#privilege EXEC level 10 show ip access-list

6.為特權模式的進入設置強壯的密碼。不要采用enable password設置密碼。而要采用enable secret命令設置。并且要啟用Service password-encryption。

7.控制對VTY的訪問。如果不需要遠程訪問則禁止它。如果需要則一定要設置強壯的密碼。由于VTY在網絡的傳輸過程中為加密,所以需要對其進行嚴格的控制。如:設置強壯的密碼;控制連接的并發數目;采用訪問列表嚴格控制訪問的地址;可以采用AAA設置用戶的訪問控制等。

8.IOS的升級和備份,以及配置文件的備份建議使用FTP代替TFTP。如:

  1. Router(Config)#ip ftp username BluShin 
  2. Router(Config)#ip ftp password 4tppa55w0rd 
  3. Router#copy startup-config ftp:

9.及時的升級和修補IOS軟件。

 

李蕭明吐槽 標題黨不解釋

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=941轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏