1、禁用不需要的服務:
no ip http server //這玩意兒的安全漏洞很多的
no ip source-route //禁用ip源路由,防止路由欺騙
no service finger //禁用finger服務
no ip bootp server //禁用bootp服務
no service udp-small-s //小的udp服務
no service tcp-small-s //禁用小的tcp服務
2、關閉cdp
no cdp run //禁用cdp
3、配置強加密與啟用密碼加密:
service password-encryption //對password密碼進行加密
enable secret asdfajkls //配置強加密的特權密碼
no enable password //禁用弱加密的特權密碼
4、配置log server、時間服務及與用於帶內管理的acl等,便於進行安全審計
service timestamp log datetime localtime //配置時間戳為datetime方式,使用本地時間
logging 192.168.0.1 //向192.168.0.1傳送log
logging 192.168.0.2 //向192.168.0.2傳送log
access-list 98的主機進行通訊
no access-list 99 //在配置乙個新的acl前先清空該acl
access-list 99 permit 192.168.0.0 0.0.0.255
access-list 99 deny any log //log引數說明在有符合該條件的條目時產生一條logo資訊
no access-list 98 //在配置乙個新的acl前先清空該acl
access-list 98 permit host 192.168.0.1
access-list 98 deny any log //log引數說明在有符合該條件的條目時產生一條logo資訊
clock timezone pst-8 //設定時區
ntp authenticate //啟用ntp認證
ntp authentication-key 1 md5 uadsf //設定ntp認證用的密碼,使用md5加密。需要和ntp server一致
ntp trusted-key 1 //可以信任的key.
ntp acess-group peer 98 //設定ntp服務,只允許對端為符合access-list 98條件的主機
ntp server 192.168.0.1 key 1 //配置ntp server,server為192.168.0.1,使用1號key做為密碼
5、對帶內管理行為進行限制:
snmp-server community hsdxdf ro 98//配置snmp唯讀通訊字,並只允許access-list 98的主機進行通訊
line vty 0 4
access-class 99 in //使用acl 99來控制telnet的源位址
login
password 0 asdfaksdlf //配置telnet密碼
exec-timeout 2 0 //配置虛終端超時引數,這裡是2分鐘
6、對帶外管理行為進行限制:
line con 0
login
password 0 adsfoii //配置console口的密碼
exec-timeout 2 0 //配置console口超時引數,這裡是兩分鐘
7、應用control-plane police,預防ddos攻擊(注:需要12.2(1s或12.3(4)t以上版本才支援)
允許信任主機(包括其它網路裝置、管理工作站等)來的流量:
access-list 110 deny ip host 1.1.1.1 any
access-list 110 deny ip 2.2.2.0 255.255.255.0 any
.....
access-list 110 deny ip 3.3.3.3 any
限制所有其它流量
[page]
三、 cisco catos加固
1、 禁用不需要的服務:
set cdp disable //禁用cdp
set ip http disable //禁用http server,這玩意兒的安全漏洞很多的
2、 配置時間及日誌引數,便於進行安全審計:
set logging timestamp enable //啟用log時間戳
set logging server 192.168.0.1 //向192.168.0.1傳送log
set logging server 192.168.0.2 //向192.168.0.2傳送
set timezone pst-8 //設定時區
set ntp authenticate enable //啟用ntp認證
set ntp key 1 md5 uadsf //設定ntp認證用的密碼,使用md5加密。需要和ntp server一致
set ntp server 192.168.0.1 key 1 //配置ntp server,server為192.168.0.1,使用1號key做為密碼
set ntp client enable //啟用ntp client
3、 限制帶內管理:
set snmp community hsdxdf //配置snmp唯讀通訊字
set ip permit enable snmp //啟用snmp訪問控制
set ip permit 192.168.0.1 snmp //允許192.168.0.1進行snmp訪問
set ip permit enable telnet //啟用telnet訪問控制
set ip permit 192.168.0.1 telnet //允許192.168.0.1進行telnet訪問
set password //配置telnet密碼
set enable //配置特權密碼
set logout 2 //配置超時引數,2分鐘
本文**
xiaojiang
Cisco路由器及交換機安全加固
根據木桶理論,乙個桶能裝多少水,取決於這個桶最短的那塊木板。具體到資訊系統的安全也是一樣,整個資訊系統的安全程度也取決於資訊系統中最薄弱的環節,網路做為資訊系統的體,其安全需求的重要性是顯而易見的。網路層面的安全主要有兩個方面,一是資料層面的安全,使用acl等技術手段,輔助應用系統增強系統的整體安全...
交換機和路由器
交換機 二層 資料鏈路層 交換機,基於埠mac對映表,傳送資料 資料傳送端發動資料 源mac位址 目的mac位址 資料 交換機將源mac位址及對應埠記錄到對映表中,並查詢對映表是否存在目的mac位址與埠的對映 如果存在,就直接根據對映 到目的端 如果不存在,需要向除源埠以外的埠 泛洪 並根據回應確定...
交換機和路由器
交換機 switch 交換機是集線器的公升級換代產品,外形上和集線器沒什麼分別,是一種在通訊系統中自動完成資訊交換功能的裝置,用途和hub一樣也是連線組網之用,但是它具有比集線器更強大的功能。交換機也叫交換式集線器,它通過對資訊進行重新生成,並經過內部處理後 至指定埠,具備自動定址能力和交換作用,由...