返回
Cisco路由器交换机基准安全配置标准.doc

Cisco路由器交换机基准安全配置标准.doc

ID:61423611

大小:30.00 KB

页数:6页

时间:2021-01-28

Cisco路由器交换机基准安全配置标准.doc_第1页
Cisco路由器交换机基准安全配置标准.doc_第2页
Cisco路由器交换机基准安全配置标准.doc_第3页
Cisco路由器交换机基准安全配置标准.doc_第4页
Cisco路由器交换机基准安全配置标准.doc_第5页
资源描述:

《Cisco路由器交换机基准安全配置标准.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Cisco路由器/交换机基准安全配置标准TMT中国业务中心信息管理部2006年12月5日目的通过建立系统的安全基线标准,规范TMT中国业务中心网络环境Cisco路由器和交换机的安全配置,并提供相应的指导;降低系统存在的安全风险,确保Cisco路由器和交换机安全可靠的运行。范围适合TMT中国业务中心网络环境的所有Cisco路由器和交换机。标准维护与解释1.本标准由TMT中国业务中心每年审视1次,根据审视结果修订标准,并颁布执行;2.本标准的解释权归TMT中国业务中心;3.本标准自签发之日起生效。目录1.设置强壮的管理口令42.控制VTY43

2、.确保SNMP协议的安全54.禁用WEB管理功能55.禁用不必要的服务56.及时的升级和修补IOS软件6设置强壮的管理口令口令是路由器是用来防止对于路由器的非授权访问的主要手段,是路由器本身安全的一部分。必须修改默认的口令,并避免使用普通的口令,并且使用大小写字母+数字+特别符号混合的方式作为更强大的口令规则。保护路由器的密码,并配置如下:n禁用enablepassword命令,改密码加密机制已经很古老,存在极大安全漏洞,必须禁用,做法是:noenablepassword;n利用enablesecret命令设置密码,并选择一个长的口令字(

3、至少8位),该加密机制是IOS采用了MD5散列算法进行加密,具体语法是:enablesecret[levellevel]{password

4、encryption-typeencrypted-password};n使用servicepassword-encryption,这条命令用于对存储在配置文件中的所有口令和类似数据(如CHAP)进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。1.控制VTY为了保证安全,任何VTY应该仅允许指定的协议建立连结。n利用transportinput命令。如一个VTY只支持Telnet服务,

5、可以如下设置:transportinputtelnet;n配置VTY的Telnet访问控制安全,利用ipaccess-class限制访问VTY的ip地址范围;n利用exec-timeout命令,配置VTY的超时。避免一个空闲的任务一直占用VTY;n如果路由器操作系统支持SSH,最好只支持这个协议,避免使用明文传送的Telnet服务,可以如下设置:transportinputssh。1.确保SNMP协议的安全n如果没有用到SNMP功能,建议禁止SNMP协议服务。n尽量采用SnmpV3。n如果必需采用SnmpV1,必须修改默认的communi

6、ty,如public,private等。2.禁用web管理功能由于早期版本的路由器操作系统存在多个严重的安全漏洞,使得攻击者可以远程越权获取到路由器的完整配置文件,因此建议在路由器上使用命令:noiphttpserver禁止HTTP服务。3.禁用不必要的服务思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波),chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。路由器网络服务安全配置:Ø禁止CDP(CiscoD

7、iscoveryProtocol):Router(Config)#nocdprunRouter(Config-if)#nocdpenableØ禁止其他的TCP、UDPSmall服务:Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-small-serversØ禁止Finger服务:Router(Config)#noipfingerRouter(Config)#noservicefingerØ禁止BOOTP服务:Router(Config)#noipbo

8、otpserver禁止从网络启动和自动从网络下载初始配置文件。Router(Config)#nobootnetworkRouter(Config)#noservicconfigØ禁止IPSourceRouting:Router(Config)#noipsource-routeØ建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的:Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arpØ明确的禁止IPDirectedBroadcast:Router(Config)#

9、noipdirected-broadcastØ禁止IPClassless:Router(Config)#noipclasslessØ禁止ICMP协议的IPUnreachables,Redire

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。