Cisco路由器交换机安全配置

一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：1.DDOS攻击2.非法授权访问攻击。口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。3．IP地址欺骗攻击….利用CiscoRouter和Switch可以有效防止上述攻击。二、保护路由器2.1防止来自其它各省、市用户Ddos攻击最大的威胁：Ddos,hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。如SMURFDDOS攻击就是用最简单的命令ping做到的。利用IP地址欺骗，结合ping就可以实现DDOS攻击。防范措施：应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击Router(config-t)#noservicefingerRouter(config-t)#noservicepadRouter(config-t)#noserviceudp-small-serversRouter(config-t)#noservicetcp-small-serversRouter(config-t)#noiphttpserverRouter(config-t)#noserviceftpRouter(config-t)#noipbootpserver以上均已经配置。防止ICMP-flooging攻击Router(config-t)#inte0Router(config-if)#noipredirectsRouter(config-if)#noipdirected-broadcastRouter(config-if)#noipproxy-arpRouter(config-t)#ints0Router(config-if)#noipredirectsRouter(config-if)#noipdirected-broadcastRouter(config-if)#noipproxy-arp以上均已经配置。除非在特别要求情况下，应关闭源路由:Router(config-t)#noipsource-route以上均已经配置。禁止用CDP发现邻近的cisco设备、型号和软件版本Router(config-t)#nocdprunRouter(config-t)#ints0Router(config-if)#nocdpenable如果使用works2000网管软件，则不需要此项操作此项未配置。使用CEF转发算法，防止小包利用fastcache转发算法带来的Router内存耗尽、CPU利用率升高。Router(config-t)#ipcef2.2防止非法授权访问通过单向算法对“enablesecret”密码进行加密Router(config-t)#enablesecretRouter(config-t)#noenablepasswordRouter(config-t)#servicepassword-encryption?vty端口的缺省空闲超时为10分0秒Router(config-t)#linevty04Router(config-line)#exec-timeout100应该控制到VTY的接入，不应使之处于打开状态;Console应仅作为最后的管理手段:如只允许130.9.1.130Host能够用Telnet访问.access-list110permitip130.9.1.1300.0.0.0130.1.1.2540.0.0.0loglinevty04access-class101inexec-timeout502.3使用基于用户名和口令的强认证方法Router(config-t)#usernameadminpass5434535e2Router(config-t)#aaanew-modelRouter(config-t)#radius-serverhost130.1.1.1keykey-stringRouter(config-t)#aaaauthenticationloginnetenggroupradiuslocalRouter(config-t)#linevty04Router(config-line)#loginauthenneteng三、保护网络3.1防止IP地址欺骗黑客经常冒充地税局内部网IP地址，获得一定的访问权限。在省地税局和各地市的WANRouter上配置：防止IP地址欺骗--使用基于unicastRPF(逆向路径转发)包发送到某个接口，检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发，若是，转发，否则，丢弃。Router(config-t)#ipcefRouter(config-t)#interfacee0Router(config-if)#ipverifyunicastreverse-path101Router(config-t)#access-list101permitipanyanylog注意：通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。此项已配置。防止IP地址欺骗配置访问列表防止外部进行对内部进行IP地址Router(config-t)#access-list190denyip130.9.0.00.0.255.255anyRouter(config-t)#access-list190permitipanyanyRouter(config-t)#ints4/1/1.1Router(config-if)#ipaccess-group190in防止内部对外部进行IP地址欺骗Router(config-t)#access-list199permitip130.9.0.00.0.255.255anyRouter(config-t)#intf4/1/0Router(config-if)#ipaccess-group199in四、保护服务器对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心CiscoRouter上配置空路由。iproute130.1.1.1255.255.255.255.0null在WANRouter上配置CBAC,cisco状态防火墙，防止SyncFlood攻击hr(config)#ints0/0hr(config-if)#ipaccess-group100inhr(config)#intf0/0hr(config-if)#ipinspectinsp1inhr(config)#ipinspectaudit-trialhr(config)#ipinspectnameinsp1tcphr(config)#ipinspectmax-incompletehigh350hr(config)#ipinspectmax-incompletelow240hr(config)#ipaudithr(config)#access-list100permittcpany130.1.1.2eq80在WANRouter上配置IDS入侵检测系统hr(config)#ipauditnameaudit1infoactionalarmhr(config)#ipauditnameaudit1attackactionalarmdropresethr(config)#ipauditaudit1notifyloghr(config)#ints0/0hr(config)#ipauditaudit1in五、网络运行监视配置syslogserver,将日志信息发送到syslogserver上SyslogServer纪录Router的平时运行产生的一些事件，如广域口的up,down,OSPFNeighbour的建立或断开等，它对统计Router的运行状态、流量的一些状态，电信链路的稳定有非常重要的意义，用以指导对网络的改进。Router(config-t)#loggonRouter(config-t)#logg172.5.5.5Router(config-t)#loggfacilitylocal6（责任编辑：zhaohb）更多请看Cisco与华为技术网（Vlan9.com）