|
很多網(wǎng)絡(luò)管理員在剛開始使用思科路由器時都會忽略安全(服務(wù)器租用找:51033397)設(shè)置�����,本文介紹的內(nèi)容非常適合此類應(yīng)用者在使用思科路由器時對網(wǎng)絡(luò)安全(服務(wù)器租用找:51033397)進行配置。
一.路由器“訪問控制”的安全(服務(wù)器租用找:51033397)配置
1.嚴格控制可以訪問路由器的管理員����。任何一次維護都需要記錄備案。
2.建議不要遠程訪問路由器��。即使需要遠程訪問路由器����,建議使用訪問控制列表和高強度的密碼控制。
3.嚴格控制CON端口的訪問���。具體的措施有:
A.如果可以開機箱的��,則可以切斷與CON口互聯(lián)的物理線路�����。
B.可以改變默認的連接屬性�����,例如修改波特率(默認是96000����,可以改為其他的)��。
C.配合使用訪問控制列表控制對CON口的訪問��。
如:Router(Config)#Access-list 1 permit 192.168.0.1
- Router(Config)#line con 0
- Router(Config-line)#Transport input none
- Router(Config-line)#Login local
- Router(Config-line)#Exec-timeoute 5 0
- Router(Config-line)#access-class 1 in
- Router(Config-line)#end
D.給CON口設(shè)置高強度的密碼��。
4.如果不使用AUX端口��,則禁止這個端口�����。默認是未被啟用。禁止如:
- Router(Config)#line aux 0
- Router(Config-line)#transport input none
- Router(Config-line)#no exec
5.建議采用權(quán)限分級策略���。如:
- Router(Config)#username BluShin privilege 10 G00dPa55w0rd
- Router(Config)#privilege EXEC level 10 telnet
- Router(Config)#privilege EXEC level 10 show ip access-list
6.為特權(quán)模式的進入設(shè)置強壯的密碼���。不要采用enable password設(shè)置密碼。而要采用enable secret命令設(shè)置�����。并且要啟用Service password-encryption����。
7.控制對VTY的訪問。如果不需要遠程訪問則禁止它���。如果需要則一定要設(shè)置強壯的密碼�。由于VTY在網(wǎng)絡(luò)的傳輸過程中為加密��,所以需要對其進行嚴格的控制�。如:設(shè)置強壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴格控制訪問的地址;可以采用AAA設(shè)置用戶的訪問控制等。
8.IOS的升級和備份����,以及配置文件的備份建議使用FTP代替TFTP。如:
- Router(Config)#ip ftp username BluShin
- Router(Config)#ip ftp password 4tppa55w0rd
- Router#copy startup-config ftp:
9.及時的升級和修補IOS軟件��。
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強����!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
