Cisco 路由器及交换机安全加固法则
10-15 21:47:25
来源:http://www.qz26.com 网络基础知识 阅读:8950次
导读:1、禁用不需要的服务: no ip http server //禁用http server,这玩意儿的安全漏洞很多的 no ip source-route //禁用IP源路由,防止路由欺骗 no service finger //禁用finger服务 no ip bootp server//禁用bootp服务 no service udp-small-s //小的udp服务 no service tcp-small-s //禁用小的tcp服务 2、关闭CDP no cdp run //禁用cdp 3、配置强加密与启用密码加密: service passWord-encryption//启用加密服务,将对password密码进行加密 enable secret asdfajkls//配置强加密的特权密码 no enable password //禁用弱加密的特权密码 4、配置log server、时间服务及与用于带内治理的ACL等,便于进行安全审计 service timestamp log datetime
Cisco 路由器及交换机安全加固法则,标签:网络基础,计算机网络基础知识,http://www.qz26.com
1、禁用不需要的服务:
no ip http server //禁用http server,这玩意儿的安全漏洞很多的
no ip source-route //禁用IP源路由,防止路由欺骗
no service finger //禁用finger服务
no ip bootp server //禁用bootp服务
no service udp-small-s //小的udp服务
no service tcp-small-s //禁用小的tcp服务
2、关闭CDP
no cdp run //禁用cdp
3、配置强加密与启用密码加密:
service passWord-encryption //启用加密服务,将对password密码进行加密
enable secret asdfajkls //配置强加密的特权密码
no enable password //禁用弱加密的特权密码
4、配置log server、时间服务及与用于带内治理的ACL等,便于进行安全审计
service timestamp log datetime localtime //配置时间戳为datetime方式,使用本地时间
logging 192.168.0.1 //向192.168.0.1发送log
logging 192.168.0.2 //向192.168.0.2发送log
Access-list 98的主机进行通讯
no access-list 99 //在配置一个新的acl前先清空该ACL
access-list 99 permit 192.168.0.0 0.0.0.255
access-list 99 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息
no access-list 98 //在配置一个新的acl前先清空该ACL
access-list 98 permit host 192.168.0.1
access-list 98 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息
!
clock timezone PST-8 //设置时区
ntp authenticate //启用NTP认证
ntp authentication-key 1 md5 uadsf //设置NTP认证用的密码,使用MD5加密。
需要和ntp server一致
ntp trusted-key 1 //可以信任的Key.
ntp acess-group peer 98 //设置ntp服务,只答应对端为符合access-list 98条件的主机
ntp server 192.168.0.1 key 1 //配置ntp server,server为192.168.0.1,使用1号key做为密码
5、对带内治理行为进行限制:
snmp-server community HSDxdf ro 98//配置snmp只读通讯字,并只答应access-list 98的主机进行通讯
line vty 0 4
access-class 99 in //使用acl 99来控制telnet的源地址
login
password 0 asdfaksdlf //配置telnet密码
exec-timeout 2 0 //配置虚终端超时参数,这里是2分钟
!
6、对带外治理行为进行限制:
line con 0
login
password 0 adsfoii //配置console口的密码
exec-timeout 2 0 //配置console口超时参数,这里是两分钟
!
line aux 0
transport input none
password 0 asfdkalsfj
no exec
exit
7、应用control-plane police,预防DDOS攻击(注:需要12.2(1S或12.3(4)T以上版本才支持)
答应信任主机(包括其它网络设备、治理工作站等)来的流量:
access-list 110 deny ip host 1.1.1.1 any
access-list 110 deny ip 2.2.2.0 255.255.255.0 any
.....
access-list 110 deny ip 3.3.3.3 any
限制所有其它流量
access-list 110 permit ip any any
!
class-map control-plane-limit
match access-group 110
!
policy-map control-plane-policy
class control-plane-limit
police 32000 conform transmit exceed drop
!
control-plane
service-policy input control-plane-policy
三、 Cisco CatOS加固
1、 禁用不需要的服务:
set cdp disable //禁用cdp
set ip http disable //禁用http server,这玩意儿的安全漏洞很多的
2、 配置时间及日志参数,便于进行安全审计:
set logging timestamp enable //启用log时间戳
1、禁用不需要的服务:
no ip http server //禁用http server,这玩意儿的安全漏洞很多的
no ip source-route //禁用IP源路由,防止路由欺骗
no service finger //禁用finger服务
no ip bootp server //禁用bootp服务
no service udp-small-s //小的udp服务
no service tcp-small-s //禁用小的tcp服务
2、关闭CDP
no cdp run //禁用cdp
3、配置强加密与启用密码加密:
service passWord-encryption //启用加密服务,将对password密码进行加密
enable secret asdfajkls //配置强加密的特权密码
no enable password //禁用弱加密的特权密码
4、配置log server、时间服务及与用于带内治理的ACL等,便于进行安全审计
service timestamp log datetime localtime //配置时间戳为datetime方式,使用本地时间
logging 192.168.0.1 //向192.168.0.1发送log
logging 192.168.0.2 //向192.168.0.2发送log
Access-list 98的主机进行通讯
no access-list 99 //在配置一个新的acl前先清空该ACL
access-list 99 permit 192.168.0.0 0.0.0.255
access-list 99 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息
no access-list 98 //在配置一个新的acl前先清空该ACL
access-list 98 permit host 192.168.0.1
access-list 98 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息
!
clock timezone PST-8 //设置时区
ntp authenticate //启用NTP认证
ntp authentication-key 1 md5 uadsf //设置NTP认证用的密码,使用MD5加密。
需要和ntp server一致
ntp trusted-key 1 //可以信任的Key.
ntp acess-group peer 98 //设置ntp服务,只答应对端为符合access-list 98条件的主机
ntp server 192.168.0.1 key 1 //配置ntp server,server为192.168.0.1,使用1号key做为密码
5、对带内治理行为进行限制:
snmp-server community HSDxdf ro 98//配置snmp只读通讯字,并只答应access-list 98的主机进行通讯
line vty 0 4
access-class 99 in //使用acl 99来控制telnet的源地址
login
password 0 asdfaksdlf //配置telnet密码
exec-timeout 2 0 //配置虚终端超时参数,这里是2分钟
!
6、对带外治理行为进行限制:
line con 0
login
password 0 adsfoii //配置console口的密码
exec-timeout 2 0 //配置console口超时参数,这里是两分钟
!
line aux 0
transport input none
password 0 asfdkalsfj
no exec
exit
7、应用control-plane police,预防DDOS攻击(注:需要12.2(1S或12.3(4)T以上版本才支持)
答应信任主机(包括其它网络设备、治理工作站等)来的流量:
access-list 110 deny ip host 1.1.1.1 any
access-list 110 deny ip 2.2.2.0 255.255.255.0 any
.....
access-list 110 deny ip 3.3.3.3 any
限制所有其它流量
access-list 110 permit ip any any
!
class-map control-plane-limit
match access-group 110
!
policy-map control-plane-policy
class control-plane-limit
police 32000 conform transmit exceed drop
!
control-plane
service-policy input control-plane-policy
三、 Cisco CatOS加固
1、 禁用不需要的服务:
set cdp disable //禁用cdp
set ip http disable //禁用http server,这玩意儿的安全漏洞很多的
2、 配置时间及日志参数,便于进行安全审计:
set logging timestamp enable //启用log时间戳
Tag:网络基础知识,网络基础,计算机网络基础知识,电脑培训学习 - 网络知识 - 网络基础知识
下一条:使用路由器便不需要防病毒措施吗