网络设备安全配置

Cisco路由器安全配置必用10条命令当谈到配置一台新的Cisco路由器，多数配置依赖于路由器的类型以及它将服务的用途。然而，每位管理员都有其自己的“正确”配置每台路由器的命令列表。笔者将和你分享他自己配置路由器的十条命令列表。当谈到配置一台新的Cisco路由器，多数配置依赖于路由器的类型以及它将服务的用途。然而，有一些东西是你在每台新的Cisco路由器上都应该配置的。有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的“正确”配置每台路由器的命令。这是我认为你应该在每台路由器上都配置的十条命令的列表(没有特别的顺序)。在路由器上配置一个登录帐户我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号。这样做，意味着你需要用户和口令来获得访问权。除此之外，我建议为用户名使用一个秘密口令，而不仅有一个常规口令。它用MD5加密方法来加密口令，并且大大提高了安全性。举例如下:Router(config)#usernamerootsecretMy$Password以下内容需要回复才能看到在配置了用户名后，你必须启用使用该用户名的端口。举例如下:Router(config)#linecon0Router(config-line)#loginlocalRouter(config)#lineaux0Router(config-line)#loginlocalRouter(config)#linevty04Router(config-line)#loginlocal在路由器上设置一个主机名我猜测路由器上缺省的主机名是router。你可以保留这个缺省值，路由器同样可以正常运行。然而，对路由器重新命名并唯一地标识它才有意义。举例如下:Router(config)#hostnameRouter-Branch-23除此之外，你可以在路由器上配置一个域名，这样它就知道所处哪个DNS域中。举例如下:Router-Branch-23(config)#ipdomainnameTechRepublic.com为进入特权模式设置口令当谈到设置进入特权模式的口令时，许多人想到使用enablepassword命令。然而，代替使用这个命令，我强烈推荐使用enablesecret命令。这个命令用MD5加密方法加密口令，所以提示符不以明文显示。举例如下:Router(config)#enablesecretMy$Password加密路由器口令Cisco路由器缺省情况下在配置中不加密口令。然而，你可以很容易地改变这一点。举例如下:Router(config)#servicepassword-encryption禁用Web服务Cisco路由器还在缺省情况下启用了Web服务，它是一个安全风险。如果你不打算使用它，最好将它关闭。举例如下:Router(config)#noiphttpserver配置DNS，或禁用DNS查找让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下，如果在特权模式下误输入了一个命令，路由器认为你试图Telnet到一个远程主机。然而它对你输入的内容却执行DNS查找。如果你没有在路由器上配置DNS，命令提示符将挂起直到DNS查找失败。由于这个原因，我建议使用下面两个方法中的一个。一个选择是禁用DNS。做法是:Router(config)#noipdomain-lookup或者，你可以正确地配置DNS指向一台真实的DNS服务器。Router(config)#ipname-server当谈到配置一台新的Cisco路由器，多数配置依赖于路由器的类型以及它将服务的用途。然而，每位管理员都有其自己的“正确”配置每台路由器的命令列表。笔者将和你分享他自己配置路由器的十条命令列表。当谈到配置一台新的Cisco路由器，多数配置依赖于路由器的类型以及它将服务的用途。然而，有一些东西是你在每台新的Cisco路由器上都应该配置的。有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的“正确”配置每台路由器的命令。这是我认为你应该在每台路由器上都配置的十条命令的列表(没有特别的顺序)。在路由器上配置一个登录帐户我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号。这样做，意味着你需要用户和口令来获得访问权。除此之外，我建议为用户名使用一个秘密口令，而不仅有一个常规口令。它用MD5加密方法来加密口令，并且大大提高了安全性。举例如下:Router(config)#usernamerootsecretMy$Password在配置了用户名后，你必须启用使用该用户名的端口。举例如下:Router(config)#linecon0Router(config-line)#loginlocalRouter(config)#lineaux0Router(config-line)#loginlocalRouter(config)#linevty04Router(config-line)#loginlocal在路由器上设置一个主机名我猜测路由器上缺省的主机名是router。你可以保留这个缺省值，路由器同样可以正常运行。然而，对路由器重新命名并唯一地标识它才有意义。举例如下:Router(config)#hostnameRouter-Branch-23除此之外，你可以在路由器上配置一个域名，这样它就知道所处哪个DNS域中。举例如下:Router-Branch-23(config)#ipdomainnameTechRepublic.com为进入特权模式设置口令当谈到设置进入特权模式的口令时，许多人想到使用enablepassword命令。然而，代替使用这个命令，我强烈推荐使用enablesecret命令。这个命令用MD5加密方法加密口令，所以提示符不以明文显示。举例如下:Router(config)#enablesecretMy$Password加密路由器口令Cisco路由器缺省情况下在配置中不加密口令。然而，你可以很容易地改变这一点。举例如下:Router(config)#servicepassword-encryption禁用Web服务Cisco路由器还在缺省情况下启用了Web服务，它是一个安全风险。如果你不打算使用它，最好将它关闭。举例如下:Router(config)#noiphttpserver配置DNS，或禁用DNS查找让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下，如果在特权模式下误输入了一个命令，路由器认为你试图Telnet到一个远程主机。然而它对你输入的内容却执行DNS查找。如果你没有在路由器上配置DNS，命令提示符将挂起直到DNS查找失败。由于这个原因，我建议使用下面两个方法中的一个。一个选择是禁用DNS。做法是:Router(config)#noipdomain-lookup或者，你可以正确地配置DNS指向一台真实的DNS服务器。Router(config)#ipname-servercisco设备安全性设置一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：1.DDOS攻击2.非法授权访问攻击。口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。3.IP地址欺骗攻击利用CiscoRouter和Switch可以有效防止上述攻击二、保护路由器2.1防止来自其它各省、市用户Ddos攻击最大的威胁：Ddos,hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。如SMURFDDOS攻击就是用最简单的命令ping做到的。利用IP地址欺骗，结合ping就可以实现DDOS攻击。防范措施：应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击。以下是引用片段：Router(config-t)#noservicefingerRouter(config-t)#noservicepadRouter(config-t)#noserviceudp-small-serversRouter(config-t)#noservicetcp-small-serversRouter(config-t)#noiphttpserverRouter(config-t)#noserviceftpRouter(config-t)#noipbootpserver以上均已经配置。防止ICMP-flooging攻击。以下是引用片段：Router(config-t)#inte0Router(config-if)#noipredirectsRouter(config-if)#noipdirected-broadcastRouter(config-if)#noipproxy-arpRouter(config-t)#ints0Router(config-if)#noipredirectsRouter(config-if)#noipdirected-broadcastRouter(config-if)#noipproxy-arp以上均已经配置。除非在特别要求情况下，应关闭源路由:以下是引用片段：Router(config-t)#noipsource-route以上均已经配置。禁止用CDP发现邻近的cisco设备、型号和软件版本。以下是引用片段：Router(config-t)#nocdprunRouter(config-t)#ints0Router(config-if)#nocdpenable如果使用works2000网管软件，则不需要此项操作，此项未配置。使用CEF转发算法，防止小包利用fastcache转发算法带来的Router内存耗尽、CPU利用率升高。以下是引用片段：Router(config-t)#ipcef2.2防止非法授权访问通过单向算法对“enablesecret”密码进行加密。以下是引用片段：Router(config-t)#enablesecretRouter(config-t)#noenablepasswordRouter(config-t)#servicepassword-encryption?vty端口的缺省空闲超时为10分0秒Router(config-t)#linevty04Router(config-line)#exec-timeout100应该控制到VTY的接入，不应使之处于打开状态;Console应仅作为最后的管理手段:如只允许130.9.1.130Host能够用Telnet访问。以下是引用片段：access-list110permitip130.9.1.1300.0.0.0130.1.1.2540.0.0.0loglinevty04access-class101inexec-timeout502.3使用基于用户名和口令的强认证方法以下是引用片段：Router(config-t)#usernameadminpass5434535e2Router(config-t)#aaanew-modelRouter(config-t)#radius-serverhost130.1.1.1keykey-stringRouter(config-t)#aaaauthenticationloginnetenggroupradiuslocalRouter(config-t)#linevty04Router(config-line)#loginauthenneteng三、保护网络3.1防止IP地址欺骗黑客经常冒充地税局内部网IP地址，获得一定的访问权限。在省地税局和各地市的WANRouter上配置：防止IP地址欺骗--使用基于unicastRPF(逆向路径转发)。包发送到某个接口，检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发，若是，转发，否则，丢弃。以下是引用片段：Router(co