一、 網(wǎng)絡(luò)結(jié)構(gòu)及安全脆弱性

為了使設(shè)備配置簡單或易于用戶使用，Router或Switch初始狀態(tài)并沒有配置安全措施，所以網(wǎng)絡(luò)具有許多安全脆弱性，因此網(wǎng)絡(luò)中常面臨如下威脅： 1. DDOS*** 2. 非法授權(quán)訪問***。 口令過于簡單，口令長期不變，口令明文創(chuàng)送，缺乏強(qiáng)認(rèn)證機(jī)制。 3.IP地址欺騙***　　…. 利用Cisco Router和Switch可以有效防止上述***。 二、保護(hù)路由器 2.1 防止來自其它各省、市用戶Ddos*** 最大的威脅：Ddos, hacker控制其他主機(jī)，共同向Router訪問提供的某種服務(wù)，導(dǎo)致Router利用率升高。 Ddos是最容易實(shí)施的***手段，不要求***有高深的網(wǎng)絡(luò)知識就可以做到。 如SMURF DDOS ***就是用最簡單的命令ping做到的。利用IP 地址欺騙，結(jié)合ping就可以實(shí)現(xiàn)DDOS***。 防范措施： 應(yīng)關(guān)閉某些缺省狀態(tài)下開啟的服務(wù)，以節(jié)省內(nèi)存并防止安全破壞行為/***。

以下是引用片段： 　　Router(config-t)#no?service?finger 　　Router(config-t)#no?service?pad 　　Router(config-t)#no?service?udp-small-servers 　　Router(config-t)#no?service?tcp-small-servers 　　Router(config-t)#no?ip?http?server 　　Router(config-t)#no?service?ftp 　　Router(config-t)#no?ip?bootp?server

　　以上均已經(jīng)配置。 防止ICMP-flooging***。

以下是引用片段： 　　Router(config-t)#int?e0 　　Router(config-if)#no?ip?redirects 　　Router(config-if)#no?ip?directed-broadcast 　　Router(config-if)#no?ip?proxy-arp 　　Router(config-t)#int?s0 　　Router(config-if)#no?ip?redirects 　　Router(config-if)#no?ip?directed-broadcast 　　Router(config-if)#no?ip?proxy-arp

　　以上均已經(jīng)配置。 除非在特別要求情況下，應(yīng)關(guān)閉源路由:

以下是引用片段： 　　Router(config-t)#no?ip?source-route

以上均已經(jīng)配置。 禁止用CDP發(fā)現(xiàn)鄰近的cisco設(shè)備、型號和軟件版本。

以下是引用片段： 　　Router(config-t)#no?cdp?run 　　Router(config-t)#int?s0 　　Router(config-if)#no?cdp?enable

　　如果使用works2000網(wǎng)管軟件，則不需要此項(xiàng)操作，此項(xiàng)未配置。 使用CEF轉(zhuǎn)發(fā)算法，防止小包利用fast cache轉(zhuǎn)發(fā)算法帶來的Router內(nèi)存耗盡、CPU利用率升高。

以下是引用片段： 　　Router(config-t)#ip?cef

2.2 防止非法授權(quán)訪問

通過單向算法對 “enable secret”密碼進(jìn)行加密。

以下是引用片段： Router(config-t)#enable?secret? Router(config-t)#no?enable?password Router(config-t)#service?password-encryption?vty端口的缺省空閑超時(shí)為10分0秒 Router(config-t)#line?vty?0?4 Router(config-line)#exec-timeout?10?0

　　應(yīng)該控制到VTY的接入，不應(yīng)使之處于打開狀態(tài);Console應(yīng)僅作為最后的管理手段: 如只允許130.9.1.130 Host 能夠用Telnet訪問。

以下是引用片段： 　　access-list?110?permit?ip?130.9.1.130?0.0.0.0?130.1.1.254?0.0.0.0?log 　　line?vty?0?4 　　access-class?101?in 　　exec-timeout?5?0

　　2.3 使用基于用戶名和口令的強(qiáng)認(rèn)證方法

以下是引用片段： 　　Router(config-t)#username?admin?pass?5?434535e2 　　Router(config-t)#aaa?new-model 　　Router(config-t)#radius-server?host?130.1.1.1?key?key-string 　　Router(config-t)#aaa?authentication?login?neteng?group?radius?local 　　Router(config-t)#line?vty?0?4 　　Router(config-line)#login?authen?neteng

三、保護(hù)網(wǎng)絡(luò)

3.1防止IP地址欺騙 ***經(jīng)常冒充地稅局內(nèi)部網(wǎng)IP地址，獲得一定的訪問權(quán)限。 在省地稅局和各地市的WAN Router上配置： 防止IP地址欺騙--使用基于unicast RPF(逆向路徑轉(zhuǎn)發(fā))。包發(fā)送到某個(gè)接口，檢查包的IP地址是否與CEF表中到達(dá)此IP地址的最佳路由是從此接口轉(zhuǎn)發(fā)，若是，轉(zhuǎn)發(fā)，否則，丟棄。

以下是引用片段： 　　Router(config-t)#ip?cef 　　Router(config-t)#interface?e0 　　Router(config-if)#?ip?verify?unicast?reverse-path?101 　　Router(config-t)#access-list?101?permit?ip?any?any?log

　　注意：通過log日志可以看到內(nèi)部網(wǎng)絡(luò)中哪些用戶試圖進(jìn)行IP地址欺騙。此項(xiàng)已配置。 防止IP地址欺騙配置訪問列表 防止外部進(jìn)行對內(nèi)部進(jìn)行IP地址:

以下是引用片段： 　　Router(config-t)#access-list?190?deny?ip?130.9.0.0?0.0.255.255?any 　　Router(config-t)#access-list?190?permit?ip?any?any 　　Router(config-t)#int?s4/1/1.1 　　Router(config-if)#?ip?access-group?190?in

　　防止內(nèi)部對外部進(jìn)行IP地址欺騙:

以下是引用片段： 　　Router(config-t)#access-list?199?permit?ip?130.9.0.0?0.0.255.255?any 　　Router(config-t)#int?f4/1/0 　　Router(config-if)#?ip?access-group?199?in

四、保護(hù)服務(wù)器

對于地稅局內(nèi)部的某些Server,如果它不向各地提供服務(wù)可以在總局核心Cisco Router上配置空路由。

以下是引用片段： 　　ip?route?130.1.1.1?255.255.255.255.0?null

在WAN Router上配置CBAC,cisco狀態(tài)防火墻，防止Sync Flood***

以下是引用片段： 　　hr(config)#int?s0/0 　　hr(config-if)#ip?access-group?100?in 　　hr(config)#int?f0/0 　　hr(config-if)#ip?inspect?insp1?in 　　hr(config)#ip?inspect?audit-trial 　　hr(config)#ip?inspect?name?insp1?tcp 　　hr(config)#ip?inspect?max-incomplete?high?350 　　hr(config)#ip?inspect?max-incomplete?low?240 　　hr(config)#ip?audit 　　hr(config)#access-list?100?permit?tcp?any?130.1.1.2?eq?80

　　在WAN Router 上配置IDS***檢測系統(tǒng)

以下是引用片段： 　　hr(config)#ip?audit?name?audit1?info?action?alarm 　　hr(config)#ip?audit?name?audit1?attack?action?alarm?drop 　　reset 　　hr(config)#ip?audit?audit1?notify?log 　　hr(config)#int?s0/0 　　hr(config)#ip?audit?audit1?in

五、網(wǎng)絡(luò)運(yùn)行監(jiān)視 配置syslog server,將日志信息發(fā)送到syslog server上Syslog Server紀(jì)錄Router的平時(shí)運(yùn)行產(chǎn)生的一些事件，如廣域口的up, down, OSPF Neighbour的建立或斷開等，它對統(tǒng)計(jì)Router的運(yùn)行狀態(tài)、流量的一些狀態(tài)，電信鏈路的穩(wěn)定有非常重要的意義，用以指導(dǎo)對網(wǎng)絡(luò)的改進(jìn)。

以下是引用片段： 　　Router(config-t)#logg?on 　　Router(config-t)#logg?172.5.5.5 　　Router(config-t)#logg?facility?local6

轉(zhuǎn)載于:https://blog.51cto.com/itpython/382822

總結(jié)

以上是生活随笔為你收集整理的Cisco路由器交换机安全配置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。