CISCO路由器初始化必備安全命令。

餘二五發表於2017-11-21

一.路由器訪問控制的安全設定 

1.嚴格控制能訪問路由器的管理員。所有一次維護都需要記錄備案。


2.建議不要遠端訪問路由器。即使需要遠端訪問路由器,建議使用訪問控制列表和高強度的密碼控制。 


3.嚴格控制CON埠的訪問。具體的措施有: 
A.如果能開機箱的,則能切斷和CON口互聯的物理線路。 

B.能改動預設的連線屬性,例如修改波特率(預設是96000,能改為其他的)。 

C.配合使用訪問控制列表控制對CON口的訪問。 

如:Router(Config)#Access-list 1 permit 192.168.0.1

Router(Config)#line con 0

Router(Config-line)#Transport input none

Router(Config-line)#Login local

Router(Config-line)#Exec-timeoute 5 0

Router(Config-line)#access-class 1 in

Router(Config-line)#end

D.給CON口設定高強度的密碼。 

4.如果不使用AUX埠,則禁止這個埠。預設是未被啟用。禁止如: 

Router(Config)#line aux 0

Router(Config-line)#transport input none

Router(Config-line)#no exec

5.建議採用許可權分級策略。如: 

Router(Config)#username BluShin privilege 10 G00dPa55w0rd

Router(Config)#privilege EXEC level 10 telnet

Router(Config)#privilege EXEC level 10 show ip access-list

6.為特權模式的進入設定強壯的密碼。不要採用enable password設定密碼。而要採用enable secret命令設定。並且要啟用Service password-encryption。 


7.控制對VTY的訪問。如果不必遠端訪問則禁止他。如果需要則一定要設定強壯的密碼。由於VTY在網路的傳輸過程中為加密,所以需要對其進行嚴格的控制。如:設定強壯的密碼;控制連線的併發數目;採用訪問列表嚴格控制訪問的地址;能採用AAA設定使用者的訪問控制等。 


8.IOS的升級和備份,及設定檔案的備份建議使用FTP代替TFTP。如:
 

Router(Config)#ip ftp username BluShin

Router(Config)#ip ftp password 4tppa55w0rd

Router#copy startup-config ftp:

9.及時的升級和修補IOS軟體。


二.路由器網路服務安全設定 
1.禁止CDP(Cisco Discovery Protocol)。如: 

Router(Config)#no cdp run 

Router(Config-if)# no cdp enable

2.禁止其他的TCP、UDP Small服務。 

Router(Config)# no service tcp-small-servers

Router(Config)# no service udp-samll-servers

3.禁止Finger服務。 

Router(Config)# no ip finger

Router(Config)# no service finger

4.建議禁止HTTP服務。 
Router(Config)# no ip http server 

如果啟用了HTTP服務則需要對其進行安全設定:設定使用者名稱和密碼;採用訪問列表進行控制。如: 

Router(Config)# username BluShin privilege 10 G00dPa55w0rd 

Router(Config)# ip http auth local 

Router(Config)# no access-list 10

Router(Config)# access-list 10 permit 192.168.0.1 

Router(Config)# access-list 10 deny any 

Router(Config)# ip http access-class 10 

Router(Config)# ip http server

Router(Config)# exit 

5.禁止BOOTp服務。 

Router(Config)# no ip bootp server 

禁止從網路啟動和自動從網路下載初始設定檔案。 

Router(Config)# no boot network 

Router(Config)# no servic config 

6.禁止IP Source Routing。 

Router(Config)# no ip source-route 

7.建議如果不必ARP-Proxy服務則禁止他,路由器預設識開啟的。 

Router(Config)# no ip proxy-arp 

Router(Config-if)# no ip proxy-arp 

8.明確的禁止IP Directed Broadcast。 

Router(Config)# no ip directed-broadcast 

9.禁止IP Classless。 

Router(Config)# no ip classless 

10.禁止ICMP協議的IP Unreachables,Redirects,Mask Replies。 

Router(Config-if)# no ip unreacheables

Router(Config-if)# no ip redirects

Router(Config-if)# no ip mask-reply

11.建議禁止SNMP協議服務。在禁止時必須刪除一些SNMP服務的預設設定。或需要訪問列表來過濾。如: 

Router(Config)# no snmp-server community public Ro

Router(Config)# no snmp-server community admin RW

Router(Config)# no access-list 70

Router(Config)# access-list 70 deny any

Router(Config)# snmp-server community MoreHardPublic Ro 70

Router(Config)# no snmp-server enable traps

Router(Config)# no snmp-server system-shutdown

Router(Config)# no snmp-server trap-anth

Router(Config)# no snmp-server

Router(Config)# end

12.如果沒必要則禁止WINS和DNS服務。 

Router(Config)# no ip domain-lookup 

如果需要則需要設定: 

Router(Config)# hostname Router 

Router(Config)# ip name-server 202.102.134.96 

13.明確禁止不使用的埠。 

Router(Config)# interface eth0/3 

Router(Config)# shutdown

本文轉自 qq8658868 51CTO部落格,原文連結:http://blog.51cto.com/hujizhou/1186351,如需轉載請自行聯絡原作者


相關文章