CISCO 路由器 初始化必备安全命令
一.路由器访问控制的安全设置
1.严格控制能访问路由器的管理员。所有一次维护都需要记录备案。
2.建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3.严格控制CON端口的访问。具体的措施有:
A.如果能开机箱的,则能切断和CON口互联的物理线路。
B.能改动默认的连接属性,例如修改波特率(默认是96000,能改为其他的)。
C.配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
Router(Config-line)#Login local
Router(Config-line)#Exec-timeoute 5 0
Router(Config-line)#access-class 1 in
Router(Config-line)#end
D.给CON口设置高强度的密码。
4.如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
5.建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rd
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
6.为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7.控制对VTY的访问。如果不必远程访问则禁止他。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;能采用AAA设置用户的访问控制等。
8.IOS的升级和备份,及设置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShin
Router(Config)#ip ftp password 4tppa55w0rd
Router#copy startup-config ftp:
9.及时的升级和修补IOS软件。
二.路由器网络服务安全设置
1.禁止CDP(Cisco Discovery Protocol)。如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2.禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3.禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4.建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全设置:设置用户名和密码;采用访问列表进行控制。如:
Router(Config)# username BluShin privilege 10 G00dPa55w0rd
Router(Config)# ip http auth local
Router(Config)# no access-list 10
Router(Config)# access-list 10 permit 192.168.0.1
Router(Config)# access-list 10 deny any
Router(Config)# ip http access-class 10
Router(Config)# ip http server
Router(Config)# exit
5.禁止BOOTp服务。
Router(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始设置文件。
Router(Config)# no boot network
Router(Config)# no servic config
6.禁止IP Source Routing。
Router(Config)# no ip source-route
7.建议如果不必ARP-Proxy服务则禁止他,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8.明确的禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9.禁止IP Classless。
Router(Config)# no ip classless
10.禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11.建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认设置。或需要访问列表来过滤。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
Router(Config)# no access-list 70
Router(Config)# access-list 70 deny any
Router(Config)# snmp-server community MoreHardPublic Ro 70
Router(Config)# no snmp-server enable traps
Router(Config)# no snmp-server system-shutdown
Router(Config)# no snmp-server trap-anth
Router(Config)# no snmp-server
Router(Config)# end
12.如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要设置:
Router(Config)# hostname Router
Router(Config)# ip name-server 202.102.134.96
13.明确禁止不使用的端口。
Router(Config)# interface eth0/3
Router(Config)# shutdown
转载于:https://blog.51cto.com/1841cisco/1085659
CISCO 路由器 初始化必备安全命令相关推荐
- CISCO路由器初始化必备安全命令。
一.路由器访问控制的安全设置 1.严格控制能访问路由器的管理员.所有一次维护都需要记录备案. 2.建议不要远程访问路由器.即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制. 3.严格控制 ...
- 路由器配置之初始化必备安全命令
CISCO路由器初始化 一.路由器访问控制的安全设置 1.严格控制能访问路由器的管理员.所有一次维护都需要记录备案. 2.建议不要远程访问路由器.即使需要远程访问路由器,建议使用访问 控制列表和高强 ...
- cisco路由器license的相关命令简单梳理
cisco设备的license许可证授权:对于IP Base基本的IOS功能外,另外三个技术包(1 数据Data:2 统一通信Unified Communications 3 安全Security)需 ...
- cisco路由器EIGRP基础配置命令
1.IP地址等基本配置自行配置 2.配置EIGRP协议 R1(config)#router eigrp 1 启用EIGRP路由选择协议进程,AS号为1 R1(config-router)#networ ...
- 《Cisco IPv6网络实现技术(修订版)》一2.6 配置练习:使用Cisco路由器配置一个IPv6网络...
本节书摘来自异步社区<Cisco IPv6网络实现技术(修订版)>一书中的第2章,第2.6节,作者[加]Régis Desmeules,更多章节内容可以访问云栖社区"异步社区&q ...
- Cisco路由器安全配置必用10条命令
当谈到配置一台新的cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,每位管理员都有其自己的"正确"配置每台路由器的命令列表.笔者将和你分享他自己配置路由器的十条 ...
- 最详细的CISCO路由器配置命令及方法
第一章 路由器配置基础 一.基本设置方式 二.命令状态 三.设置对话过程 四.常用命令 五.配置IP寻址 六.配置静态路由 第二章 广域网协议设置 一.HDLC 二.PPP 三.X.25 四.Fram ...
- Cisco路由器配置命令之模式转换命令
Cisco路由器配置命令之配置命令 show running config 显示所有的配置 show versin 显示版本号和寄存器值 shut down 关闭接口 no shutdown 打开接口 ...
- Cisco路由器安全配置命令
要想使路由器足够的安全,这十条命令是我们应该考虑在每台路由器上都需要配置的,具体如下: 1.在路由器上配置一个登录帐户 建议在路由器和交换机上配置一个真实的用户名和口令帐号.这样以来就意味着你需要用户 ...
最新文章
- 配置springmvc在其他类中(spring容器外)获取注入bean
- 解决流程自动化“最后一公里问题”,达观数据发布智能 RPA
- python的主函数如何书写_Python程序的入口在哪里?main函数的恰当写法
- 密码技术--椭圆曲线算法EDCSA数字签名及Go语言应用
- Cocos2D-x工程目录介绍
- easyexcel 设置标题_使用easyexcel完成复杂表头及标题的导出功能(自定义样式)
- java java 检查型异常_如何整合Java中的有效性检查和异常抛出?
- 95-140-108-源码-transform-算子process
- python环境变量配置_怎么搭建python环境?很简单,就几步的事
- 企业可视化大屏如何搭建
- php项目打不开DNS,电脑无法打开网页显示错误代码dns_probe_possible怎么解决?
- 串级控制PID 炉温控制
- 2022年最好的游戏引擎是什么?
- 业务分析系列主题:做设计时,怎样理解和构建业务场景闭环?
- 工行智能客服服务量突破1.7亿笔;迪拜机场拟用人脸识别技术替代护照检查
- 20万、50万、100万的算法工程师,有什么区别?
- jsp汽车销售系统带前端
- 边缘提取——Prewitt算子和Sobel算子
- 初等数论的一部分结论
- 第8期——STA接入过程