一、 網絡結構及安全脆弱性

為了使設備配置簡單或易于用戶使用，Router或Switch初始狀態并沒有配置安全措施，所以網絡具有許多安全脆弱性，因此網絡中常面臨如下威脅： 1. DDOS*** 2. 非法授權訪問***。 口令過于簡單，口令長期不變，口令明文創送，缺乏強認證機制。 3.IP地址欺騙***　　…. 利用Cisco Router和Switch可以有效防止上述***。 二、保護路由器 2.1 防止來自其它各省、市用戶Ddos*** 最大的威脅：Ddos, hacker控制其他主機，共同向Router訪問提供的某種服務，導致Router利用率升高。 Ddos是最容易實施的***手段，不要求***有高深的網絡知識就可以做到。 如SMURF DDOS ***就是用最簡單的命令ping做到的。利用IP 地址欺騙，結合ping就可以實現DDOS***。 防范措施： 應關閉某些缺省狀態下開啟的服務，以節省內存并防止安全破壞行為/***。

以下是引用片段： 　　Router(config-t)#no?service?finger 　　Router(config-t)#no?service?pad 　　Router(config-t)#no?service?udp-small-servers 　　Router(config-t)#no?service?tcp-small-servers 　　Router(config-t)#no?ip?http?server 　　Router(config-t)#no?service?ftp 　　Router(config-t)#no?ip?bootp?server

　　以上均已經配置。 防止ICMP-flooging***。

以下是引用片段： 　　Router(config-t)#int?e0 　　Router(config-if)#no?ip?redirects 　　Router(config-if)#no?ip?directed-broadcast 　　Router(config-if)#no?ip?proxy-arp 　　Router(config-t)#int?s0 　　Router(config-if)#no?ip?redirects 　　Router(config-if)#no?ip?directed-broadcast 　　Router(config-if)#no?ip?proxy-arp

　　以上均已經配置。 除非在特別要求情況下，應關閉源路由:

以下是引用片段： 　　Router(config-t)#no?ip?source-route

以上均已經配置。 禁止用CDP發現鄰近的cisco設備、型號和軟件版本。

以下是引用片段： 　　Router(config-t)#no?cdp?run 　　Router(config-t)#int?s0 　　Router(config-if)#no?cdp?enable

　　如果使用works2000網管軟件，則不需要此項操作，此項未配置。 使用CEF轉發算法，防止小包利用fast cache轉發算法帶來的Router內存耗盡、CPU利用率升高。

以下是引用片段： 　　Router(config-t)#ip?cef

2.2 防止非法授權訪問

通過單向算法對 “enable secret”密碼進行加密。

以下是引用片段： Router(config-t)#enable?secret? Router(config-t)#no?enable?password Router(config-t)#service?password-encryption?vty端口的缺省空閑超時為10分0秒 Router(config-t)#line?vty?0?4 Router(config-line)#exec-timeout?10?0

　　應該控制到VTY的接入，不應使之處于打開狀態;Console應僅作為最后的管理手段: 如只允許130.9.1.130 Host 能夠用Telnet訪問。

以下是引用片段： 　　access-list?110?permit?ip?130.9.1.130?0.0.0.0?130.1.1.254?0.0.0.0?log 　　line?vty?0?4 　　access-class?101?in 　　exec-timeout?5?0

　　2.3 使用基于用戶名和口令的強認證方法

以下是引用片段： 　　Router(config-t)#username?admin?pass?5?434535e2 　　Router(config-t)#aaa?new-model 　　Router(config-t)#radius-server?host?130.1.1.1?key?key-string 　　Router(config-t)#aaa?authentication?login?neteng?group?radius?local 　　Router(config-t)#line?vty?0?4 　　Router(config-line)#login?authen?neteng

三、保護網絡

3.1防止IP地址欺騙 ***經常冒充地稅局內部網IP地址，獲得一定的訪問權限。 在省地稅局和各地市的WAN Router上配置： 防止IP地址欺騙--使用基于unicast RPF(逆向路徑轉發)。包發送到某個接口，檢查包的IP地址是否與CEF表中到達此IP地址的最佳路由是從此接口轉發，若是，轉發，否則，丟棄。

以下是引用片段： 　　Router(config-t)#ip?cef 　　Router(config-t)#interface?e0 　　Router(config-if)#?ip?verify?unicast?reverse-path?101 　　Router(config-t)#access-list?101?permit?ip?any?any?log

　　注意：通過log日志可以看到內部網絡中哪些用戶試圖進行IP地址欺騙。此項已配置。 防止IP地址欺騙配置訪問列表 防止外部進行對內部進行IP地址:

以下是引用片段： 　　Router(config-t)#access-list?190?deny?ip?130.9.0.0?0.0.255.255?any 　　Router(config-t)#access-list?190?permit?ip?any?any 　　Router(config-t)#int?s4/1/1.1 　　Router(config-if)#?ip?access-group?190?in

　　防止內部對外部進行IP地址欺騙:

以下是引用片段： 　　Router(config-t)#access-list?199?permit?ip?130.9.0.0?0.0.255.255?any 　　Router(config-t)#int?f4/1/0 　　Router(config-if)#?ip?access-group?199?in

四、保護服務器

對于地稅局內部的某些Server,如果它不向各地提供服務可以在總局核心Cisco Router上配置空路由。

以下是引用片段： 　　ip?route?130.1.1.1?255.255.255.255.0?null

在WAN Router上配置CBAC,cisco狀態防火墻，防止Sync Flood***

以下是引用片段： 　　hr(config)#int?s0/0 　　hr(config-if)#ip?access-group?100?in 　　hr(config)#int?f0/0 　　hr(config-if)#ip?inspect?insp1?in 　　hr(config)#ip?inspect?audit-trial 　　hr(config)#ip?inspect?name?insp1?tcp 　　hr(config)#ip?inspect?max-incomplete?high?350 　　hr(config)#ip?inspect?max-incomplete?low?240 　　hr(config)#ip?audit 　　hr(config)#access-list?100?permit?tcp?any?130.1.1.2?eq?80

　　在WAN Router 上配置IDS***檢測系統

以下是引用片段： 　　hr(config)#ip?audit?name?audit1?info?action?alarm 　　hr(config)#ip?audit?name?audit1?attack?action?alarm?drop 　　reset 　　hr(config)#ip?audit?audit1?notify?log 　　hr(config)#int?s0/0 　　hr(config)#ip?audit?audit1?in

五、網絡運行監視 配置syslog server,將日志信息發送到syslog server上Syslog Server紀錄Router的平時運行產生的一些事件，如廣域口的up, down, OSPF Neighbour的建立或斷開等，它對統計Router的運行狀態、流量的一些狀態，電信鏈路的穩定有非常重要的意義，用以指導對網絡的改進。

以下是引用片段： 　　Router(config-t)#logg?on 　　Router(config-t)#logg?172.5.5.5 　　Router(config-t)#logg?facility?local6

轉載于:https://blog.51cto.com/itpython/382822

總結

以上是生活随笔為你收集整理的Cisco路由器交换机安全配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。