企业cisco路由与交换安全设置

企业cisco路由与交换安全设置

路由器是连接内网与外网的桥梁，它的安全关系到整个内网的安全，更关系到企业商业机密等等。所以做好路由的安全是重中之重。

以下部分设置cisco路由与交换通用

一　首先做好密码的设置

1         Telnet　密码

(config)#line vty 0 4

　　　　　　　(config-line)#login

　　　　　　　(config-line)#password xxx

个人建议不要开启远程，如果一旦开启此项，给***者可乘之机，路由安全又降低了。

     　　　　　　　　　　　　　　　　　

２　特权密码 (conft)# enable　sercret　 xxx　最好不要写成enable　password  xxx，因为这个相对来讲加密算法较弱。同时还要启用service password-encryption　此条命令是对配置文件中所有密码及相关文件进行加密，以提高安全性. 建议特权密码不要与Telnet密码相同。

2         console口密码

(config)#line console 0

　　　　　　　(config-line)#login

　　　　　　　(config-line)#password xxx

二　关闭不必要的服务

Cisco路由器提供了很多服务。其中有很多不必要的服务，这些服务又是默认开启的，这就又给***者一个可乘之机，所以建议手动关闭这些服务。

1         建议禁止SNMP服务

(config)# no snmp-server

SNMP是英文“Simple Network Management Protocol”的缩写，中文意思是“简单网络管理协议”.分为V1 V2版本

禁止pulic的只读属性和admin的读写属性

Router(config)#no snmp-server community public ro

Router(config)#no snmp-server community admin rw

2         关闭IP直接广播(IP Directed Broadcast)

　　　　(config)#no ip source-route这个指令关闭路由器的IP直接广播地址

3         建议禁止Http管理服务

Http管理服务是Cisco提供的基于图形界面的Web管理方式，方便某些初级用户的管理需求。但是，开启Web管理后路由器需要开启而外的端口(通常是80)，而且Http是Cisco存在漏洞比较多的一个服务。对于一个熟练的管理员，有高效的命令行就可以了，完全用不着Web管理方式，因此笔者建议禁止该管理服务服务。

Router(config)#no ip http server

 

 

4　封锁ICMP ping请求

屏蔽外部ping包

　Router(Config)#access-list 110 deny icmp any any echo log

Router(Config)#access-list 110 deny icmp any any redirect log

Router(Config)#access-list 110 deny icmp any any mask-request log

Router(Config)#access-list 110 permit icmp any any

允许内部ping包

Router(Config)#access-list 111 permit icmp any any echo

Router(Config)#access-list 111 permit icmp any any Parameter-problem

Router(Config)#access-list 111 permit icmp any any packet-too-big

Router(Config)#access-list 111 permit icmp any any source-quench

Router(Config)#access-list 111 deny icmp any any log

屏蔽外部TraceRoute

Router(Config)#access-list 112 deny udp any any range 33400 34400

允许内部TraceRoute

Router(Config)#access-list 112 permit udp any any range 33400 34400

4         按需定制访问控制列表

访问控制列表(ACL)可以实现网络通信流量的控制。合理应用路由器(尤其是边缘路由器)的访问控制列表功能，将对网络的安全起到很好的保护作用，如拒绝非公有地址访问内部网络以及一些垃圾和恶意路由信息等。

5         关闭cdp　Cisco发现协议

　　　(Config)#no cdp run

6         关闭DNS查找

　　　（config）#no ip domain-lookup

7         优化设置

　　　(config)#,line console 0 &&(config)line vty 0 4 &&(config)#line aux 0

      (config-line)# logging synchronous (不让日志消息打扰你的配置过程)&& exec-time 0 0　永过超时

 

 

#以上仅供参考