CISCO路由器初始化必備安全命令。
一.路由器訪問控制的安全設定
1.嚴格控制能訪問路由器的管理員。所有一次維護都需要記錄備案。
2.建議不要遠端訪問路由器。即使需要遠端訪問路由器,建議使用訪問控制列表和高強度的密碼控制。
3.嚴格控制CON埠的訪問。具體的措施有:
A.如果能開機箱的,則能切斷和CON口互聯的物理線路。
B.能改動預設的連線屬性,例如修改波特率(預設是96000,能改為其他的)。
C.配合使用訪問控制列表控制對CON口的訪問。
如:Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
Router(Config-line)#Login local
Router(Config-line)#Exec-timeoute 5 0
Router(Config-line)#access-class 1 in
Router(Config-line)#end
D.給CON口設定高強度的密碼。
4.如果不使用AUX埠,則禁止這個埠。預設是未被啟用。禁止如:
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
5.建議採用許可權分級策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rd
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
6.為特權模式的進入設定強壯的密碼。不要採用enable password設定密碼。而要採用enable secret命令設定。並且要啟用Service password-encryption。
7.控制對VTY的訪問。如果不必遠端訪問則禁止他。如果需要則一定要設定強壯的密碼。由於VTY在網路的傳輸過程中為加密,所以需要對其進行嚴格的控制。如:設定強壯的密碼;控制連線的併發數目;採用訪問列表嚴格控制訪問的地址;能採用AAA設定使用者的訪問控制等。
8.IOS的升級和備份,及設定檔案的備份建議使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShin
Router(Config)#ip ftp password 4tppa55w0rd
Router#copy startup-config ftp:
9.及時的升級和修補IOS軟體。
二.路由器網路服務安全設定
1.禁止CDP(Cisco Discovery Protocol)。如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2.禁止其他的TCP、UDP Small服務。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3.禁止Finger服務。
Router(Config)# no ip finger
Router(Config)# no service finger
4.建議禁止HTTP服務。
Router(Config)# no ip http server
如果啟用了HTTP服務則需要對其進行安全設定:設定使用者名稱和密碼;採用訪問列表進行控制。如:
Router(Config)# username BluShin privilege 10 G00dPa55w0rd
Router(Config)# ip http auth local
Router(Config)# no access-list 10
Router(Config)# access-list 10 permit 192.168.0.1
Router(Config)# access-list 10 deny any
Router(Config)# ip http access-class 10
Router(Config)# ip http server
Router(Config)# exit
5.禁止BOOTp服務。
Router(Config)# no ip bootp server
禁止從網路啟動和自動從網路下載初始設定檔案。
Router(Config)# no boot network
Router(Config)# no servic config
6.禁止IP Source Routing。
Router(Config)# no ip source-route
7.建議如果不必ARP-Proxy服務則禁止他,路由器預設識開啟的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8.明確的禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9.禁止IP Classless。
Router(Config)# no ip classless
10.禁止ICMP協議的IP Unreachables,Redirects,Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11.建議禁止SNMP協議服務。在禁止時必須刪除一些SNMP服務的預設設定。或需要訪問列表來過濾。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
Router(Config)# no access-list 70
Router(Config)# access-list 70 deny any
Router(Config)# snmp-server community MoreHardPublic Ro 70
Router(Config)# no snmp-server enable traps
Router(Config)# no snmp-server system-shutdown
Router(Config)# no snmp-server trap-anth
Router(Config)# no snmp-server
Router(Config)# end
12.如果沒必要則禁止WINS和DNS服務。
Router(Config)# no ip domain-lookup
如果需要則需要設定:
Router(Config)# hostname Router
Router(Config)# ip name-server 202.102.134.96
13.明確禁止不使用的埠。
Router(Config)# interface eth0/3
Router(Config)# shutdown
相關文章
- Cisco路由器基本配置命令路由器
- CISCO 2811 路由器配置命令全集路由器
- Cisco路由器的安全配置簡易例項(上)路由器
- Cisco路由器的安全配置簡易例項(中)路由器
- Cisco路由器的安全配置簡易例項(三)路由器
- Cisco路由器VPN配置路由器
- vim 必備命令
- iOS安全攻防(一):Hack必備的命令與工具iOS
- 用python管理Cisco路由器Python路由器
- Cisco路由器配置的常識路由器
- 開發者必備Linux命令Linux
- git命令使用(必備系列)Git
- 新手必備:FTP命令大全FTP
- cisco路由器上配置TCP攔截路由器TCP
- 在CISCO路由器上配置NAT功能路由器
- Cisco高檔路由器故障排除(轉)路由器
- Cisco 路由器暫存器配置[轉貼]路由器
- Cisco路由器故障診斷技術(轉)路由器
- Oracle建庫必備的核心初始化引數Oracle
- 伺服器安全必備:設定VPS安全伺服器
- Cisco路由器限速詳細設定語句路由器
- Cisco的路由器上進行埠對映路由器
- Cisco路由器與交換機口令回覆步驟路由器
- Linux 操作必備 150 個命令Linux
- Cisco路由器IOS映像恢復及升級方法路由器iOS
- Cisco路由器埠故障的解決辦法(轉)路由器
- cisco裝置命令列快捷鍵命令列
- Cisco IOS 基本命令集iOS
- Java開發人員必備Linux命令JavaLinux
- 用Json Template在Azure上建立Cisco CSR路由器JSON路由器
- Cisco系列路由器密碼恢復研究與實踐路由器密碼
- 必虎路由器mini怎麼樣?必虎路由器mini評測路由器
- cisco交換機命令總結匯集
- Cisco IOS 基本命令集(轉)iOS
- Linux的幾個新手必備的命令(一)Linux
- 菜鳥學資料庫(五)——MySQL必備命令資料庫MySql
- CISCO交換機,埠安全配置例項。
- Cisco路由器上配置3A認證的故障除錯路由器除錯