欢迎来到天天文库
浏览记录
ID:32657736
大小:67.33 KB
页数:6页
时间:2019-02-14
《cisco路由器交换机安全配置》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、Cisco路由器交换机安全配置一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络屮常面临如下威胁:1.DD0S攻击2.非法授权・・・一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁:1.DD0S攻击2.非法授权访问攻击。口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。3.IP地址欺骗攻击利用CiscoRoute
2、r和Switch可以有效防止上述攻击。二、保护路由器2.1防止来自其它各省、市用户Ddos攻击最大的威胁:Ddos,hacker控制其他主机,共同向Router访问提供的某种服务,导致Router利用率升高。Ddos是最容易实施的攻击手段,不要求黑客有高深的网络知识就可以做到。如SMURFDDOS攻击就是用最简单的命令ping做到的。利用IP地址欺骗,结合ping就可以实现DDOS攻击。防范措施:应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击。以下是引用片段:Router(config-t)#noRouter(
3、config-t)#noRouter(config-t)#noRouter(config-t)#noRouter(config-t)#noRouter(config-t)#noservicefingerservicepadserviceudp-smal1-serversservicetcp-smal1-serversiphttpserverserviceftpRouter(config-t)#noipbootpserver以上均己经配置。防止ICMP-flooging攻击。以下是引用片段:Router(config-t)#intR
4、outer(config-if)#noRouter(config-if)#noRouter(config-if)#noRouter(config-t)#intRouter(config-if)#noRouter(config-if)#noRouter(config-if)#no以上均已经配置。eOipredirectsipdirected-broadcastipproxy-arpsOiprcdirectsipdirected-broadcastipproxy-arp除非在特别要求情况下,应关闭源路由:以下是引用片段:Router(
5、config-t)#noipsource-route以上均已经配置。禁止用CDP发现邻近的cisco设备、型号和软件版本。以下是引用片段:Router(config-t)#nocdprunRouter(config-t)#intsORouter(config-if)#nocdpenable如果使用works2000网管软件,则不需要此项操作,此项未配置。使用CEF转发算法,防止小包利用fastcache转发算法带來的Router内存耗尽、CPU利用率升高。以下是引用片段:Router(config~t)#ipcef2.2防止非法授
6、权访问通过单向算法对^enablesecret密码进行加密。以下是引用片段:Router(config-t)#enablesecretRouter(config-t)#noenablepasswordRouter(config-t)^servicepassword-encryption?vty端口的缺省空闲超时为10分0秒Router(config-t)#linevty04Router(config-1ine)#exec-timeout100应该控制到VTY的接入,不应使之处于打开状态;Console应仅作为最后的管理手段:如只允
7、许130.9.1.130Host能够用Telnet访问。以下是引用片段:access-]ist110permitip130.9.1.1300.0.0.0130.1.1.2540.0.0.0loglinevty04access-class101inexec-timeout502.3使用基于用户名和口令的强认证方法以下是引用片段:Router(config-t)#uscrnanicadminpass5434535c2Router(config-t)#aaanew-modelRouter(config-t)Sradius-serverh
8、ost130.1.1.1keykey-stringRouter(config-t)#aaaauthenticationloginnetenggroupradiuslocalRouter(config-t)#1inevty04Router(confi
此文档下载收益归作者所有