企业cisco路由与交换安全设置

企业 cisco 路由与交换安全设置

路由器是连接内网与外网的桥梁，它的安全关系到整个内网的安全，更关系到企业商业机密等等。所以做好路由的安全是重中之重。

以下部分设置 cisco 路由与交换通用

一　首先做好密码的设置

1         Telnet 　密码

(config)#line vty 0 4

　　　　　　　 (config-line)#login

　　　　　　　 (config-line)#password xxx

个人建议不要开启远程，如果一旦开启此项，给攻击者可乘之机，路由安全又降低了。

     　　　　　　　　　　　　　　　　　

２　特权密码 (conft)# enable 　 sercret 　 xxx 　最好不要写成 enable 　 password  xxx ，因为这个相对来讲加密算法较弱。同时还要启用 service password-encryption 　此条命令是对配置文件中所有密码及相关文件进行加密，以提高安全性 . 建议特权密码不要与 Telnet 密码相同。

2         console 口密码

(config)#line console 0

　　　　　　　 (config-line)#login

　　　　　　　 (config-line)#password xxx

二　关闭不必要的服务

Cisco 路由器提供了很多服务。其中有很多不必要的服务，这些服务又是默认开启的，这就又给攻击者一个可乘之机，所以建议手动关闭这些服务。

1         建议禁止 SNMP 服务

(config)# no snmp-server

SNMP 是英文 “Simple Network Management Protocol” 的缩写，中文意思是 “ 简单网络管理 协议”. 分为 V1 V2 版本

禁止 pulic 的只读属性和 admin 的读写属性

Router(config)#no snmp-server community public ro

Router(config)#no snmp-server community admin rw

2         关闭 IP 直接广播 (IP Directed Broadcast)

　　　　 (config)#no ip source-route 这个指令关闭路由器的 IP 直接广播地址

3         建议禁止Http管理服务

Http 管理服务是Cisco提供的基于图形界面的Web管理方式，方便某些初级用户的管理需求。但是，开启Web管理后路由器需要开启而外的端口(通常是80)，而且Http是Cisco存在漏洞比较多的一个服务。对于一个熟练的管理员，有高效的命令行就可以了，完全用不着Web管理方式，因此笔者建议禁止该管理服务服务。

Router(config)#no ip http server

 

 

4 　封锁 ICMP ping 请求

屏蔽外部 ping 包

　 Router(Config)#access-list 110 deny icmp any any echo log

Router(Config)#access-list 110 deny icmp any any redirect log

Router(Config)#access-list 110 deny icmp any any mask-request log

Router(Config)#access-list 110 permit icmp any any

允许内部 ping 包

Router(Config)#access-list 111 permit icmp any any echo

Router(Config)#access-list 111 permit icmp any any Parameter-problem

Router(Config)#access-list 111 permit icmp any any packet-too-big

Router(Config)#access-list 111 permit icmp any any source-quench

Router(Config)#access-list 111 deny icmp any any log

屏蔽外部 TraceRoute

Router(Config)#access-list 112 deny udp any any range 33400 34400

允许内部 TraceRoute

Router(Config)#access-list 112 permit udp any any range 33400 34400

4         按需定制访问控制列表

访问控制列表 (ACL) 可以实现网络通信流量的控制。合理应用路由器 ( 尤其是边缘路由器 ) 的访问控制列表功能，将对网络的安全起到很好的保护作用，如拒绝非公有地址访问内部网络以及一些垃圾和恶意路由信息等。

5         关闭 cdp 　 Cisco 发现协议

　　　 (Config)#no cdp run

6         关闭 DNS 查找

　　　（ config ） #no ip domain-lookup

7         优化设置

　　　 (config)#,line console 0 &&(config)line vty 0 4 &&(config)#line aux 0

      (config-line)# logging synchronous ( 不让日志消息打扰你的配置过程 )&& exec-time 0 0 　永过超时

 

 

# 以上仅供参考