收藏
下载资源

网络设备安全配置

上传人:wt****50 文档编号:34042594 上传时间:2018-02-20 格式:DOC 页数:27 大小:122KB
返回 下载 相关 举报
网络设备安全配置_第1页
第1页 / 共27页
网络设备安全配置_第2页
第2页 / 共27页
网络设备安全配置_第3页
第3页 / 共27页
网络设备安全配置_第4页
第4页 / 共27页
网络设备安全配置_第5页
第5页 / 共27页
点击查看更多>>
资源描述

《网络设备安全配置》由会员分享,可在线阅读,更多相关《网络设备安全配置(27页珍藏版)》请在金锄头文库上搜索。

1、Cisco 路由器安全配置必用 10 条命令当谈到配置一台新的 Cisco 路由器,多数配置依赖于路由器的类型以及它将服务的用途。然而,每位管理员都有其自己的“正确”配置每台路由器的命令列表。笔者将和你分享他自己配置路由器的十条命令列表。 当谈到配置一台新的 Cisco 路由器,多数配置依赖于路由器的类型以及它将服务的用途。然而,有一些东西是你在每台新的 Cisco 路由器上都应该配置的。 有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的“正确”配置每台路由器的命令。 这是我认为你应该在每台路由器上都配置的十条命令的列表(没有特别的顺序)。 在路由器上配置一个登录帐户

2、 我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号。这样做,意味着你需要用户和口令来获得访问权。 除此之外,我建议为用户名使用一个秘密口令,而不仅有一个常规口令。它用 MD5 加密方法来加密口令,并且大大提高了安全性。举例如下: Router(config)# username root secret My$Password 以下内容需要回复才能看到在配置了用户名后,你必须启用使用该用户名的端口。举例如下: Router(config)# line con 0 Router(config-line)# login local Router(config)# line aux 0 Ro

3、uter(config-line)# login local Router(config)# line vty 0 4 Router(config-line)# login local 在路由器上设置一个主机名 我猜测路由器上缺省的主机名是 router。你可以保留这个缺省值,路由器同样可以正常运行。然而,对路由器重新命名并唯一地标识它才有意 义。举例如下: Router(config)# hostname Router-Branch-23 除此之外,你可以在路由器上配置一个域名,这样它就知道所处哪个 DNS 域中。举例如下: Router-Branch-23(config)# ip doma

4、in name TechR 为进入特权模式设置口令 当谈到设置进入特权模式的口令时,许多人想到使用 enable password 命令。然而,代替使用这个命令,我强烈推荐使用 enable secret 命令。 这个命令用 MD5 加密方法加密口令,所以提示符不以明文显示。举例如下: Router(config)# enable secret My$Password 加密路由器口令 Cisco 路由器缺省情况下在配置中不加密口令。然而,你可以很容易地改变这一点。举例如下: Router(config)# service password-encryption 禁用 Web 服务 Cisco

5、路由器还在缺省情况下启用了 Web 服务,它是一个安全风险。如果你不打算使用它,最好将它关闭。举例如下: Router(config)# no ip http server 配置 DNS,或禁用 DNS 查找 让我们讨论 Cisco 路由器中我个人认为的一个小毛病:缺省情况下,如果在特权模式下误输入了一个命令,路由器认为你试图 Telnet 到一个远程 主机。然而它对你输入的内容却执行 DNS 查找。 如果你没有在路由器上配置 DNS,命令提示符将挂起直到 DNS 查找失败。由于这个原因,我建议使用下面两个方法中的一个。 一个选择是禁用 DNS。做法是: Router(config)# no

6、ip domain-lookup 或者,你可以正确地配置 DNS 指向一台真实的 DNS 服务器。 Router(config)# ip name-server 当谈到配置一台新的 Cisco 路由器,多数配置依赖于路由器的类型以及它将服务的用途。然而,每位管理员都有其自己的“正确”配置每台路由器的命令列表。笔者将和你分享他自己配置路由器的十条命令列表。 当谈到配置一台新的 Cisco 路由器,多数配置依赖于路由器的类型以及它将服务的用途。然而,有一些东西是你在每台新的 Cisco 路由器上都应该配置的。 有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的“正确”配置每

7、台路由器的命令。 这是我认为你应该在每台路由器上都配置的十条命令的列表(没有特别的顺序)。 在路由器上配置一个登录帐户 我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号。这样做,意味着你需要用户和口令来获得访问权。 除此之外,我建议为用户名使用一个秘密口令,而不仅有一个常规口令。它用 MD5 加密方法来加密口令,并且大大提高了安全性。举例如下: Router(config)# username root secret My$Password 在配置了用户名后,你必须启用使用该用户名的端口。举例如下: Router(config)# line con 0 Router(config-l

8、ine)# login local Router(config)# line aux 0 Router(config-line)# login local Router(config)# line vty 0 4 Router(config-line)# login local 在路由器上设置一个主机名 我猜测路由器上缺省的主机名是 router。你可以保留这个缺省值,路由器同样可以正常运行。然而,对路由器重新命名并唯一地标识它才有意 义。举例如下: Router(config)# hostname Router-Branch-23 除此之外,你可以在路由器上配置一个域名,这样它就知道所处哪个

9、 DNS 域中。举例如下: Router-Branch-23(config)# ip domain name TechR 为进入特权模式设置口令 当谈到设置进入特权模式的口令时,许多人想到使用 enable password 命令。然而,代替使用这个命令,我强烈推荐使用 enable secret 命令。 这个命令用 MD5 加密方法加密口令,所以提示符不以明文显示。举例如下: Router(config)# enable secret My$Password 加密路由器口令 Cisco 路由器缺省情况下在配置中不加密口令。然而,你可以很容易地改变这一点。举例如下: Router(config

10、)# service password-encryption 禁用 Web 服务 Cisco 路由器还在缺省情况下启用了 Web 服务,它是一个安全风险。如果你不打算使用它,最好将它关闭。举例如下: Router(config)# no ip http server 配置 DNS,或禁用 DNS 查找 让我们讨论 Cisco 路由器中我个人认为的一个小毛病:缺省情况下,如果在特权模式下误输入了一个命令,路由器认为你试图 Telnet 到一个远程 主机。然而它对你输入的内容却执行 DNS 查找。 如果你没有在路由器上配置 DNS,命令提示符将挂起直到 DNS 查找失败。由于这个原因,我建议使用下

11、面两个方法中的一个。 一个选择是禁用 DNS。做法是: Router(config)# no ip domain-lookup 或者,你可以正确地配置 DNS 指向一台真实的 DNS 服务器。 Router(config)# ip name-servercisco 设备安全性设置一、 网络结构及安全脆弱性 为了使设备配置简单或易于用户使用,Router 或 Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁:1. DDOS 攻击2. 非法授权访问攻击。口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。3.IP 地址欺骗攻击利用 Cisco Ro

12、uter 和 Switch 可以有效防止上述攻击二、保护路由器2.1 防止来自其它各省、市用户 Ddos 攻击最大的威胁:Ddos, hacker 控制其他主机,共同向 Router 访问提供的某种服务,导致 Router 利用率升高。Ddos 是最容易实施的攻击手段,不要求黑客有高深的网络知识就可以做到。如 SMURF DDOS 攻击就是用最简单的命令 ping 做到的。利用 IP 地址欺骗,结合 ping就可以实现 DDOS 攻击。防范措施:应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击。以下是引用片段:Router(config-t)#no service finge

13、r Router(config-t)#no service pad Router(config-t)#no service udp-small-servers Router(config-t)#no service tcp-small-servers Router(config-t)#no ip http server Router(config-t)#no service ftp Router(config-t)#no ip bootp server以上均已经配置。防止 ICMP-flooging 攻击。以下是引用片段:Router(config-t)#int e0 Router(confi

14、g-if)#no ip redirects Router(config-if)#no ip directed-broadcast Router(config-if)#no ip proxy-arp Router(config-t)#int s0 Router(config-if)#no ip redirects Router(config-if)#no ip directed-broadcast Router(config-if)#no ip proxy-arp以上均已经配置。除非在特别要求情况下,应关闭源路由:以下是引用片段:Router(config-t)#no ip source-rou

15、te以上均已经配置。禁止用 CDP 发现邻近的 cisco 设备、型号和软件版本。以下是引用片段:Router(config-t)#no cdp run Router(config-t)#int s0 Router(config-if)#no cdp enable如果使用 works2000 网管软件,则不需要此项操作,此项未配置。使用 CEF 转发算法,防止小包利用 fast cache 转发算法带来的 Router 内存耗尽、CPU利用率升高。以下是引用片段:Router(config-t)#ip cef2.2 防止非法授权访问 通过单向算法对 “enable secret”密码进行加密。

16、以下是引用片段:Router(config-t)#enable secret Router(config-t)#no enable password Router(config-t)#service password-encryption?vty 端口的缺省空闲超时为 10 分0 秒 Router(config-t)#line vty 0 4 Router(config-line)#exec-timeout 10 0应该控制到 VTY 的接入,不应使之处于打开状态;Console 应仅作为最后的管理手段:如只允许 130.9.1.130 Host 能够用 Telnet 访问。以下是引用片段:access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log line vty 0 4 access-class 101 in exec-timeout 5 02.3 使用基于用户名和口令的强认证方法以

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号