cisco网络设备安全一

 

网络设备的安全登录

SSH是一种在不安全网路上提供安全远程登录及其它安全网络服务的协议，它在连接两端为主机和客户端时都使用认证密码，并且数据也经过加密后传输。

下面以Cisco路由器为例，说明SSH连接及其安全配置过程。

1.将用于远程登录的vty虚拟端口连接类型由Telnet转换为SSH

R（config）# line vty 0 4

R(config-line)# transport input telnet ssh

 

2.限制能够远程登录的主机IP地址，并对非法地址进行日志记录。

R（config）#  access-llist 1 permit host 10.16.58.1

R（config）# access-llist 1 permit host 10.16.58.13

R（config）# access-llist 1 permit host 10.16.8.1

R（config）# access-llist 1  deny any log

R（config）# 1 line vty 0 4

R（config-line）#  Access-class1 in

 

3.配置较短的超时时间内以抵御Telnet DDos攻击、劫持攻击等。

例如我们将超时时间设置为2分23秒，若在这段时间内没有数据流量，则断开连接。

R(config)# line vty 0 4

R(config-line )# exec-timeout 2 23

 

4为vty访问建立认证。用户认证可以采用本地认证和外置的Radius服务器认证两种方式。

这里举例的是配置本地认证。

Aaa new-model

Aaa authentication login ciscojam local

Username cisco password ciscojam

Username ciscojam sercet ccie

 

Line vty 0 4

Login authentication ccie

 

 

5.通过show run 命令来查看运行中的配置文件。

R# show run

 

6.在上面命令显示的配置中，我们会发现有一个名为cisco的账户密码是以明码形式存在的，需要开启加密服务，加密配置文件中的口令。

R（config）# service password-encryption

 

7.再次查看运行中的配置文件，可以看到cisco账户的密码已经加密了。。

 

 

 

 

 

本文出自 “domybest” 博客，转载请与作者联系！