Cisco路由器交换机的常规安全配置模版.doc

Cisco路由器和交换机的安全配置模板一、设备命名规范为统一网络设备命名，方便今后网络项目实施和运维管理，拟对网络设备进行统一命名,详细命名规则如下：设备名称组成部分网络系统中具体一台设备的命名由如下五个部分组成：Hostname:AABBCCDDEEAA表示各分行的地区名称简写口：上海：SHBB:表示功能区域名称CC表示设备所在的网络层次DD表示设备类型EE:表示设备的序列号，01表示第一台，02为第二台设备名称中的英文字母全部米用大写，各部分之间使用下划线连接每个字母具体范围如下：各分行地区名称如下表示(AA):序号分行名称标识1北京BJ2上海SH3功能区域或地域名称规则表如下所示(BB):序号命名名称区域描述1CORE核心区(CoreZone)2ADM安全管理区(AdminZone)3SRV服务器区(ServerZone)5HQ总部(HQZone)6BR分支(BZone)9EXT外联区(ExtConnZone)10CLT用户接入区(CLTZone12TEST测试区(TESTZone)13……网络设备所在层命名规则表如下所示（CQ:序号命名名称层次描述1COR核心层2DIS汇聚层3ACC接入层4网络设备类型命名规则表如下所示（DD:序号叩名名称设备描述1SW交换机2RT路由器3FW防火墙4IDS/IPS入侵检测5APAP接入点6CONTR无线控制器网络设备序列号编号规则表如下所示（EE）:序号叩名名称编号描述101同一区域同一应用系统第1台设备202同一区域同一应用系统第2台设备1, 、路由器配置一，路由器访问控制的安全配置严格控制可以访问路由器的管理员。

任何一次维护都需要记录备案建议不要远程访问路由器即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制2, 严格控制CON端口的访问具体的措施有：A, 如果可以开机箱的，则可以切断与CON口互联的物理线路B, 可以改变默认的连接属性，例如修改波特率(默认是96000,可以改为其他的)C, 配合使用访问控制列表控制对CON口的访问D, 如：Router(Config)#Access-list1permit192.168.0.1Router(Config)#linecon0Router(Config-line)#TransportinputnoneRouter(Config-line)#LoginlocalRouter(Config-line)#Exec-timeoute50Router(Config-line)#access-class1inRouter(Config-line)#end给CON口设置高强度的密码3, 如果不使用AUX端口，则禁止这个端口默认是未被启用禁止如：4, Router(Config)#lineaux0Router(Config-line)#transportinputnoneRouter(Config-line)#noexec建议采用权限分级策略。

如：Router(Config)#usernameIanstarprivilege10IanstarRouter(Config)#privilegeEXEClevel10telnetRouter(Config)#privilegeEXEClevel10showipaccess-list为特权模式的进入设置强壮的密码不要采用enablepassword设置密码而要采用enablesecret命令设置并且要启用Servicepassword-encryption5, 控制对VTY的访问如果不需要远程访问则禁止它如果需要则一定要设置强壮的密码由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制女口：设置强壮的密码;控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP如：Router(Config)#ipftpusernameIanstarRouter(Config)#ipftppasswordIanstarRouter#copystartup-configftp:9,及时的升级和修补IOS软件。

1, 二,路由器网络服务安全配置禁止CDP(CiscoDiscoveryProtocol)如：2, Router(Config)#nocdprunRouter(Config-if)#nocdpenable禁止其他的TCPUDPSmall服务3, Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers禁止Finger服务4, Router(Config)#noipfingerRouter(Config)#noservicefinger建议禁止HTTP服务Router(Config)#noiphttpserver如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制如：5, Router(Config)#usernameIanstarprivilege10IanstarRouter(Config)#iphttpauthlocalRouter(Config)#noaccess-list10Router(Config)#access-list10permit192.168.0.1Router(Config)#access-list10denyanyRouter(Config)#iphttpaccess-class10Router(Config)#iphttpserverRouter(Config)#exit禁止BOOTf服务。

Router(Config)#noipbootpserver禁止从网络启动和自动从网络下载初始配置文件6, Router(Config)#nobootnetworkRouter(Config)#noservicconfig禁止IPSourceRouting7, Router(Config)#noipsource-route建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的8, Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp明确的禁止IPDirectedBroadcast9, Router(Config)#noipdirected-broadcast禁止IPClassless10, Router(Config)#noipclassless禁止ICMP协议的IPUnreachables,Redirects,MaskRepliesRouter(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply建议禁止SNMP协议服务。

在禁止时必须删除一些SNMP服务的默认配置或者需要访问列表来过滤如：11, Router(Config)#nosnmp-servercommunitypublicRoRouter(Config)#nosnmp-servercommunityadminRWRouter(Config)#noaccess-list70Router(Config)#access-list70denyanyRouter(Config)#snmp-servercommunityMoreHardPublicRo70Router(Config)#nosnmp-serverenabletrapsRouter(Config)#nosnmp-serversystem-shutdownRouter(Config)#nosnmp-servertrap-anthRouter(Config)#nosnmp-serverRouter(Config)#end如果没必要则禁止WINS和DNS服务Router(Config)#noipdomain-lookup如果需要则需要配置：12, 明确禁止不使用的端口1, Router(Config)#interfaceeth0/3Router(Config)#shutdown三，路由器路由协议安全配置首先禁止默认启用的ARP-Proxy，它容易引起路由表的混乱。

Router(Config)#noipproxy-arp或者Router(Config-if)#noipproxy-arp启用OSPF路由协议的认证默认的OSPF认证密码是明文传输的，建议启用MD5认证并设置一定强度密钥(key,相对的路由器必须有相同的Key)启用MD5认证areaarea-idauthentication启用认证，是明文密码认证areaarea-idauthenticationmessage-digestRouter(Config-router)#area100authenticationmessage-digestRouter(Config)#exitRouter(Config)#interfaceeth0/1!启用MD5密钥Key为routerospfkeyipospfauthentication-keykey启用认证密钥，但会是明文传输2, ！ipospfmessage-digest-keykey-id(1-255)md5keyRouter(Config-if)#ipospfmessage-digest-key1md5routerospfkeyRIP协议的认证。

只有RIP-V2支持，RIP-1不支持建议启用RIP-V2并且采用MD5认证普通认证同样是明文传输的Router(Config)#configterminal!启用设置密钥链Router(Config)#keychainmykeychainnameRouter(Config-keychain)#key1!设置密钥字串Router(Config-leychain-key)#key-stringMyFirstKeyStringRouter(Config-keyschain)#key2Router(Config-keychain-key)#key-stringMySecondKeyString!启用RIP-V2Router(Config)#routerripRouter(Config-router)#version2Router(Config-router)#network192.168.100.0Router(Config)#interfaceeth0/1!采用MD5模式认证，并选择已配置的密钥链Router(Config-if)#ipripauthenticationmodemd5Router(Config-if)#ipripanthenticationkey-chainmykeychainname启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。

建议对于不需要路由的端口，启用passive-interface但是，在RIP协议是只是禁止转发路由信息，并没有禁止接收在OSPF协议中是禁止转发和接收路由信息。