Cisco路由器和交换机的安全设置

1、禁用不需要的服务: 
no ip http server   //这玩意儿的安全漏洞很多的 
no ip source-route   //禁用IP源路由,防止路由欺骗 
no service finger //禁用finger服务  
no ip bootp server   //禁用bootp服务 
no service udp-small-s //小的udp服务 
no service tcp-small-s //禁用小的tcp服务 

2、关闭CDP 
no cdp run //禁用cdp 

3、配置强加密与启用密码加密: 
service password-encryption //对password密码进行加密 
enable secret asdfajkls   //配置强加密的特权密码 
no enable password      //禁用弱加密的特权密码 

4、配置log server、时间服务及与用于带内管理的ACL等,便于进行安全审计 
service timestamp log datetime localtime //配置时间戳为datetime方式,使用本地时间 
logging 192.168.0.1 //向192.168.0.1发送log 
logging 192.168.0.2 //向192.168.0.2发送log 
access-list 98的主机进行通讯 
no access-list 99 //在配置一个新的acl前先清空该ACL 
access-list 99 permit 192.168.0.0 0.0.0.255 
access-list 99 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息 
no access-list 98 //在配置一个新的acl前先清空该ACL 
access-list 98 permit host 192.168.0.1 
access-list 98 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息 
clock timezone PST-8 //设置时区 
ntp authenticate       //启用NTP认证 
ntp authentication-key 1 md5 uadsf //设置NTP认证用的密码,使用MD5加密。需要和ntp server一致 
ntp trusted-key 1    //可以信任的Key.
ntp acess-group peer 98 //设置ntp服务,只允许对端为符合access-list 98条件的主机 
ntp server 192.168.0.1 key 1     //配置ntp server,server为192.168.0.1,使用1号key做为密码  

5、对带内管理行为进行限制: 
snmp-server community HSDxdf ro 98//配置snmp只读通讯字,并只允许access-list 98的主机进行通讯 
line vty 0 4 
access-class 99 in //使用acl 99来控制telnet的源地址 
login 
password 0 asdfaksdlf    //配置telnet密码 
exec-timeout 2 0       //配置虚终端超时参数,这里是2分钟 

6、对带外管理行为进行限制: 
line con 0 
login 
password 0 adsfoii //配置console口的密码 
exec-timeout 2 0       //配置console口超时参数,这里是两分钟 

7、应用control-plane police,预防DDOS攻击(注:需要12.2(1S或12.3(4)T以上版本才支持) 
允许信任主机(包括其它网络设备、管理工作站等)来的流量:
access-list 110 deny ip host 1.1.1.1 any 
access-list 110 deny ip 2.2.2.0 255.255.255.0 any 
..... 
access-list 110 deny ip 3.3.3.3 any 
限制所有其它流量 
[page]
三、 Cisco CatOS加固
1、 禁用不需要的服务: 
set cdp disable //禁用cdp 
set ip http disable    //禁用http server,这玩意儿的安全漏洞很多的 

2、 配置时间及日志参数,便于进行安全审计: 
set logging timestamp enable //启用log时间戳 
set logging server 192.168.0.1 //向192.168.0.1发送log
set logging server 192.168.0.2 //向192.168.0.2发送
set timezone PST-8 //设置时区 
set ntp authenticate enable   //启用NTP认证
set ntp key 1 md5 uadsf //设置NTP认证用的密码,使用MD5加密。需要和ntp server一致 
set ntp server 192.168.0.1 key 1 //配置ntp server,server为192.168.0.1,使用1号key做为密码  
set ntp client enable //启用ntp client 

3、 限制带内管理: 
set snmp community HSDxdf //配置snmp只读通讯字 
set ip permit enable snmp //启用snmp访问控制 
set ip permit 192.168.0.1 snmp  //允许192.168.0.1进行snmp访问 
set ip permit enable telnet //启用telnet访问控制 
set ip permit 192.168.0.1 telnet  //允许192.168.0.1进行telnet访问 
set password //配置telnet密码 
set enable     //配置特权密码 

set logout 2    //配置超时参数,2分钟

本文转自*心行博客51CTO博客,原文链接http://blog.51cto.com/xiaojiang2008/87985如需转载请自行联系原作者


xiaojiang

上一篇:.NET 云原生架构师训练营(模块二 基础巩固 MongoDB API实现)--学习笔记


下一篇:.NET 云原生架构师训练营(模块二 基础巩固 MongoDB 聚合)--学习笔记