Cisco路由器交换机安全配置.doc
7页
一、 网络构造及安全脆弱性 为了使设备配备简朴或易于顾客使用,Router或Switch初始状态并没有配备安全措施,因此网络具有许多安全脆弱性,因此网络中常面临如下威胁: 1. DDOS袭击2. 非法授权访问袭击口令过于简朴,口令长期不变,口令明文创送,缺少强认证机制3.IP地址欺骗袭击….运用Cisco Router和Switch可以有效避免上述袭击二、保护路由器2.1 避免来自其他各省、市顾客Ddos袭击最大的威胁:Ddos, hacker控制其她主机,共同向Router访问提供的某种服务,导致Router运用率升高Ddos是最容易实行的袭击手段,不规定黑客有高深的网络知识就可以做到如SMURF DDOS 袭击就是用最简朴的命令ping做到的运用IP 地址欺骗,结合ping就可以实现DDOS袭击防备措施:应关闭某些缺省状态下启动的服务,以节省内存并避免安全破坏行为/袭击Router(config-t)#no service fingerRouter(config-t)#no service padRouter(config-t)#no service udp-small-serversRouter(config-t)#no service tcp-small-serversRouter(config-t)#no ip http serverRouter(config-t)#no service ftpRouter(config-t)#no ip bootp server以上均已经配备。
避免ICMP-flooging袭击 Router(config-t)#int e0Router(config-if)#no ip redirectsRouter(config-if)#no ip directed-broadcastRouter(config-if)#no ip proxy-arpRouter(config-t)#int s0Router(config-if)#no ip redirectsRouter(config-if)#no ip directed-broadcastRouter(config-if)#no ip proxy-arp以上均已经配备除非在特别规定状况下,应关闭源路由:Router(config-t)#no ip source-route以上均已经配备严禁用CDP发现邻近的cisco设备、型号和软件版本Router(config-t)#no cdp runRouter(config-t)#int s0Router(config-if)#no cdp enable如果使用works网管软件,则不需要此项操作此项未配备使用CEF转发算法,避免小包运用fast cache转发算法带来的Router内存耗尽、CPU运用率升高。
Router(config-t)#ip cef2.2 避免非法授权访问通过单向算法对 “enable secret”密码进行加密Router(config-t)#enable secret Router(config-t)#no enable passwordRouter(config-t)#service password-encryption?vty端口的缺省空闲超时为10分0秒Router(config-t)#line vty 0 4Router(config-line)#exec-timeout 10 0应当控制到VTY的接入,不应使之处在打开状态;Console应仅作为最后的管理手段:如只容许130.9.1.130 Host 可以用Telnet访问.access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 logline vty 0 4access-class 101 inexec-timeout 5 02.3 使用基于顾客名和口令的强认证措施 Router(config-t)#username admin pass 5 434535e2Router(config-t)#aaa new-modelRouter(config-t)#radius-server host 130.1.1.1 key key-stringRouter(config-t)#aaa authentication login neteng group radius localRouter(config-t)#line vty 0 4Router(config-line)#login authen neteng三、保护网络3.1避免IP地址欺骗黑客常常冒充地税局内部网IP地址,获得一定的访问权限。
在省地税局和各地市的WAN Router上配备:避免IP地址欺骗--使用基于unicast RPF(逆向途径转发)包发送到某个接口,检查包的IP地址与否与CEF表中达到此IP地址的最佳路由是从此接口转发,若是,转发,否则,丢弃Router(config-t)#ip cefRouter(config-t)#interface e0Router(config-if)# ip verify unicast reverse-path 101Router(config-t)#access-list 101 permit ip any any log注意:通过log日记可以看到内部网络中哪些顾客试图进行IP地址欺骗此项已配备避免IP地址欺骗配备访问列表避免外部进行对内部进行IP地址Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 anyRouter(config-t)#access-list 190 permit ip any anyRouter(config-t)#int s4/1/1.1Router(config-if)# ip access-group 190 in避免内部对外部进行IP地址欺骗Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 anyRouter(config-t)#int f4/1/0Router(config-if)# ip access-group 199 in四、保护服务器对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配备空路由。
ip route 130.1.1.1 255.255.255.255.0 null在WAN Router上配备CBAC,cisco状态防火墙,避免Sync Flood袭击 hr(config)#int s0/0hr(config-if)#ip access-group 100 inhr(config)#int f0/0hr(config-if)#ip inspect insp1 inhr(config)#ip inspect audit-trialhr(config)#ip inspect name insp1 tcphr(config)#ip inspect max-incomplete high 350hr(config)#ip inspect max-incomplete low 240hr(config)#ip audithr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80在WAN Router 上配备IDS入侵检测系统 hr(config)#ip audit name audit1 info action alarmhr(config)#ip audit name audit1 attack action alarm dropresethr(config)#ip audit audit1 notify loghr(config)#int s0/0hr(config)#ip audit audit1 in五、网络运营监视配备syslog server,将日记信息发送到syslog server上Syslog Server纪录Router的平时运营产生的某些事件,如广域口的up, down, OSPF Neighbour的建立或断开等,它对记录Router的运营状态、流量的某些状态,电信链路的稳定有非常重要的意义,用以指引对网络的改善。
Router(config-t)#logg onRouter(config-t)#logg 172.5.5.5Router(config-t)#logg facility local6(责任编辑:zhaohb)更多请看Cisco与华为技术网(V)。
