史上最細致的Cisco路由安全配置 |
發(fā)布時間: 2012/7/4 19:16:33 |
很多網(wǎng)絡(luò)管理員在剛開始使用思科路由器時都會忽略安全(服務(wù)器租用找:51033397)設(shè)置,本文介紹的內(nèi)容非常適合此類應(yīng)用者在使用思科路由器時對網(wǎng)絡(luò)安全(服務(wù)器租用找:51033397)進行配置。 一.路由器“訪問控制”的安全(服務(wù)器租用找:51033397)配置 1.嚴格控制可以訪問路由器的管理員。任何一次維護都需要記錄備案。 2.建議不要遠程訪問路由器。即使需要遠程訪問路由器,建議使用訪問控制列表和高強度的密碼控制。 3.嚴格控制CON端口的訪問。具體的措施有: A.如果可以開機箱的,則可以切斷與CON口互聯(lián)的物理線路。 B.可以改變默認的連接屬性,例如修改波特率(默認是96000,可以改為其他的)。 C.配合使用訪問控制列表控制對CON口的訪問。 如:Router(Config)#Access-list 1 permit 192.168.0.1
D.給CON口設(shè)置高強度的密碼。 4.如果不使用AUX端口,則禁止這個端口。默認是未被啟用。禁止如:
5.建議采用權(quán)限分級策略。如:
6.為特權(quán)模式的進入設(shè)置強壯的密碼。不要采用enable password設(shè)置密碼。而要采用enable secret命令設(shè)置。并且要啟用Service password-encryption。 7.控制對VTY的訪問。如果不需要遠程訪問則禁止它。如果需要則一定要設(shè)置強壯的密碼。由于VTY在網(wǎng)絡(luò)的傳輸過程中為加密,所以需要對其進行嚴格的控制。如:設(shè)置強壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴格控制訪問的地址;可以采用AAA設(shè)置用戶的訪問控制等。 8.IOS的升級和備份,以及配置文件的備份建議使用FTP代替TFTP。如:
9.及時的升級和修補IOS軟件。 本文出自:億恩科技【www.allwellnessguide.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |