Cisco路由器安全配置

CISCO路由器安全配置

一、           路由器访问控制的安全配置
1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。
2,对于远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3,严格控制CON端口的访问,给CON口设置高强度的密码。
4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止命令为:
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
5,建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rd
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip Access-list
6,为特权模式的进入设置强壮的密码。不要采用enable passWord设置密码。而要采用enablesecret命令设置。并且要启用Service password-encryption。
7,控制对VTY的访问。需要设置强壮的密码。由于VTY在网络的传输过程中不加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。
8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShin
Router(Config)#ip ftp password 4tppa55w0rd
Router#copy startup-config ftp:
9,及时的升级和修补IOS软件。

二、路由器网络服务安全配置
1、禁止CDP(Cisco Discovery Protocol)。如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2、禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-small-servers
3、禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4、禁止HTTP服务。
Router(Config)# no ip http server
5、禁止BOOTp服务。
Router(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件。
Router(Config)# no boot network
Router(Config)# no servic config
6、禁止IP Source Routing。
Router(Config)# no ip source-route
7、建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp

Router(Config-if)#no ip proxy-arp
8、明确的禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9、禁止IP Classless。
Router(Config)# no ip classless
10、禁止ICMP协议的IPUnreachables,Redirects,Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11、建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:
Router(Config)# no snmp-server community ro
Router(Config)# no snmp-server community rw

三、路由器防止攻击的安全配置
1、TCP SYN的防范。如:
A: 通过访问列表防范。
Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255established
Router(Config)# access-list 106 deny ip any any log
Router(Config)# interface eth 0/2
Router(Config-if)# description “external Ethernet”
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in
B:通过TCP截获防范。
Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any log
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in
2、LAND.C 进攻的防范。
Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254log
Router(Config)# access-list permit ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 107 in
3、Smurf攻击的防范。
Router(Config-if)#no ip directed-broadcast
Router(Config)# access-list 108 deny ip any host 192.168.1.255 log

Router(Config)#access-list 108 deny ip any host 192.168.1.0 log
4、ICMP协议的安全配置。对于进入ICMP流,我们要禁止ICMP协议的ECHO、Redirect、Maskrequest。也需要禁止TraceRoute命令的探测。对于流出的ICMP流,我们可以允许ECHO、ParameterProblem、Packet too big。还有TraceRoute命令的使用。
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo log
Router(Config)# access-list 110 deny icmp any any redirect log
Router(Config)# access-list 110 deny icmp any any mask-request log
Router(Config)# access-list 110 permit icmp any any
! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem
Router(Config)# access-list 111 permit icmp any any packet-too-big
Router(Config)# access-list 111 permit icmp any any source-quench
Router(Config)# access-list 111 deny icmp any any log
! Outbound TraceRoute Control
Router(Config)# access-list 112 deny udp any any range 33400 34400
! Inbound TraceRoute Control
Router(Config)# access-list 112 permit udp any any range 33400 34400
5.DDoS(Distributed Denial of Service)的防范。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 log
Router(Config)# access-list 113 deny udp any any eq 31335 log
Router(Config)# access-list 113 deny udp any any eq 27444 log
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660 log
Router(Config)# access-list 113 deny tcp any any eq 65000 log
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270 log
Router(Config)# access-list 113 deny tcp any any eq 39168 log

!The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712 log
Router(Config)# access-list 113 deny tcp any any eq 6776 log
Router(Config)# access-list 113 deny tcp any any eq 6669 log
Router(Config)# access-list 113 deny tcp any any eq 2222 log
Router(Config)# access-list 113 deny tcp any any eq 7000 log
四、路由器防止病毒的安全配置
1、用于控制Nachi蠕虫的扫描
access-list 110 deny icmp any any echo
2、用于控制Blaster蠕虫的传播
access-list 110 deny tcp any any eq 4444
access-list 110 deny udp any any eq 69
3、用于控制Blaster蠕虫的扫描和攻击
access-list 110 deny tcp any any eq 135
access-list 110 deny udp any any eq 135
access-list 110 deny tcp any any eq 139
access-list 110 deny udp any any eq 139
access-list 110 deny tcp any any eq 445
access-list 110 deny udp any any eq 445
access-list 110 deny tcp any any eq 593
access-list 110 deny udp any any eq 593
4、用于控制 Slammer 蠕虫的传播
access-list 110 deny udp any any eq 1434
access-list 110 permit ip any any
5、关闭可能存在的漏洞
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.240.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny icmp any any echo-reply !
拒绝任何应答
access-list 101 deny icmp any any host-unreachable ! 拒绝任何无法接通的主机
access-list 101 deny udp any any eq snmp ! 拒绝引入的SNMP
access-list 101 deny udp any eq 2000 ! 拒绝引入的openwindows
access-list 101 deny udp any any gt 6000 ! 拒绝引入的X-windows
access-list 101 deny tcp any any eq 2000 ! 拒绝引入的openwindows

access-list101 deny tcp any any gt 6000 ! 拒绝引入的X-windows
access-list 101 deny udp any any eq 69 ! 拒绝引入的tftpd
access-list 101 deny udp any any eq 111 ! 拒绝引入的SunRPC
access-list 101 deny udp any any eq 2049 ! 拒绝引入的NFS
access-list 101 deny tcp any any eq 111 ! 拒绝引入的SunRPC
access-list 101 deny tcp any any eq 2049 ! 拒绝引入的 NFS
access-list 101 deny tcp any any eq 87 ! 拒绝引入的连接
access-list 101 deny tcp any any eq 512 ! 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 513 ! 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 514 ! 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 515 ! 拒绝引入的 lpd
access-list 101 deny tcp any any eq 540 ! 拒绝引入的 uUCpd
access-list 101 deny pim any any
access-list 101 deny 55 any any
access-list 101 deny 77 any any
access-list 101 deny 225 any any
access-list 101 deny udp any any eq 1434
access-list 101 deny udp any any eq 4672
access-list 101 deny tcp any any eq 445
access-list 101 deny tcp any any eq 5800
access-list 101 deny tcp any any eq 5900
access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 445
access-list 101 deny udp any any eq 593
access-list 101 deny udp any any eq 53
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 139
access-list 101 deny tcp any any eq 42
access-list 101 deny udp any any eq netbios-ss
access-list 101 deny udp any any eq netbios-ns
access-list 101 deny tcp any any eq 593
access-list 101 deny tcp any any eq 3333
access-list 101 deny udp any any eq 4444
access-list 101 permit ip any any

Cisco路由器安全配置

时间: 2024-10-28 16:15:40

Cisco路由器安全配置的相关文章

CISCO路由器基本配置

CISCO路由器的配置模式 配置模式 提示符 进入命令 说明 用户模式 Route> 用户模式是路由器启动时的缺省模式,提供有限的路由器访问权限,允许执行一些非破坏性的操作,如查看路由器的配置参数,测试路由器的连通性等,但不能对路由器配置做任何改动. 特权模式 Route# enable 特权模式可以使用所有的配置命令,在特权模式下,还可以进入到全局模式. 全局模式 Route(config)# config terminal 是路由器的最高操作模式,可以设置路由器上的运行的硬件和软件的相关参数

Cisco路由器上配置L2L IPSec VPN实例

实例一 Cisco路由器实现L2L IPSecVPN(--自明教教主) 拓扑图: 描述: 通讯点:PC1的1.1.1.1和Site2的2.2.2.2 加密点:Site1的202.100.1.1和Site2的61.128.1.1 要求:通信点间通过IPSEC VPN实现安全通信 PC1: 基础配置: en config t no ip domain-lookup line vty 0 15 logging synchronous exec-timeout 0 0 password cisco ex

Cisco 路由器上配置Easy虚拟专用网(解决员工出差访问公司内网)

博文目录一.Easy 虚拟化专用网需要解决的问题是什么?二.如何在路由器上实现Easy 虚拟专用网?三.配置路由器上实现Easy 虚拟专用网 由于"Virtual Private Network"(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字"虚拟专用网"来代替. 在之前写过了Cisco路由器IPSec 虚拟专用网原理与详细配置:Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网.这两篇博文都是用于实现总公司和分公司之间建立虚拟专用

Cisco路由器交换机配置命令详解

1. 交换机支持的命令: 交换机基本状态:switch: :ROM状态, 路由器是rommon>hostname> :用户模式hostname# :特权模式hostname(config)# :全局配置模式hostname(config-if)# :接口状态 交换机口令设置:switch>enable :进入特权模式switch#config terminal :进入全局配置模式switch(config)#hostname :设置交换机的主机名switch(config)#enable

一些Cisco 路由器命令配置

路由器单臂路由配置 ·技术原理 ·单臂路由:是为实现VLAN间通信的三层网络设备路由器,它只需要一个以太接口,通过创建子接口可以承担所有VLAN的网关,而在不同的VLAN间转发数据. ·实验步骤 ·新建packet tracer拓扑图(如图) ·当交换机设置成两个VLAN时,逻辑上已经成为两个网络,广播被隔离了.两个VLAN的网络要通信,必须通过路由器,如果接入路由器的一个物理端口,则必须有两个子接口分别与两个vlan对应,同时还要求与路由器相联的交换机的端口f0/1要设置为trunk,因为这个

Cisco路由器ADSL配置

Router#show run Building configuration... Current configuration : 1561 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-mark

Cisco路由器实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

通过博文CIsco路由器实现IPSec 虚拟专用网原理及配置详解可以实现两个局域网之间建立虚拟专用网,但是在现实环境中,较为常用的还是Easy 虚拟专用网.它主要解决的就是出差员工通过虚拟专用网访问内网的问题.在路由器上实现Easy 虚拟专用网时,会涉及以下的基本概念:XAUTH.组策略.动态Crypto Map等概念! 博文大纲:一.Easy 虚拟专用网需要解决的问题:二.在路由器上实现Easy 虚拟专用网需要配置什么?1.使用XAUTH做用户验证:2.组策略:3.动态 Crypto Map:

Cisco路由器基础安全配置---特权模式和VTY线路密码

我们在用console线连接好路由器和电脑后,启动路由器并用putty连接到路由器的控制台(console)后,建议先配置路由器的主机名(hostname)以方便识别,配置特权模式(enable)密码和vty(telnet)密码以保护路由器. Cisco路由器的特权模式密码分为明文密码和加密密码,这里建议直接配置加密密码,因为明文密码可以通过show running_configure 命令直接看到. 设置enable明文密码 Router> enable                 ' 用

cisco 2811路由器详细配置

cisco 2811路由器详细配置 Router>enable Router#configure terminal Router(config)#hostname cisco2811          //定义路由器名称 2811(config)#enable password 124563831    //设置登陆密码 2811(config)#line vty 0 4 2811(config-line)#password 124563831    //设置telnet密码 2811(conf