思科路由器配置:史上最細致、安全的Cisco路由器配置
本文關鍵詞:路由器配置,由筆耕文化傳播整理發(fā)布。
史上最細致、安全的Cisco路由器配置
時間:2011-01-21 10:09 來源:TT網(wǎng)絡 字 體:[]
很多網(wǎng)絡管理員在剛開始使用思科路由器時都會忽略安全設置,本文介紹的內(nèi)容非常適合此類應用者在使用思科路由器時對網(wǎng)絡安全進行配置。
一.cisco路由器“訪問控制”的安全配置
1.嚴格控制可以訪問路由器的管理員。任何一次維護都需要記錄備案。
2.建議不要遠程訪問路由器。即使需要遠程訪問路由器,建議使用訪問控制列表和高強度的密碼控制。
3.嚴格控制CON端口的訪問。具體的措施有:
A.如果可以開機箱的,則可以切斷與CON口互聯(lián)的物理線路。
B.可以改變默認的連接屬性,例如修改波特率(默認是96000,可以改為其他的)。
C.配合使用訪問控制列表控制對CON口的訪問。
如:Router(Config)#Access-list 1 permit 192.168.0.1
D.給CON口設置高強度的密碼。
4.如果不使用AUX端口,則禁止這個端口。默認是未被啟用。禁止如:
5.建議采用權限分級策略。如:
6.為特權模式的進入設置強壯的密碼。不要采用enable password設置密碼。而要采用enable secret命令設置。并且要啟用Service password-encryption。
7.控制對VTY的訪問。如果不需要遠程訪問則禁止它。如果需要則一定要設置強壯的密碼。由于VTY在網(wǎng)絡的傳輸過程中為加密,所以需要對其進行嚴 格的控制。如:設置強壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴格控制訪問的地址;可以采用AAA設置用戶的訪問控制等。
8.IOS的升級和備份,以及配置文件的備份建議使用FTP代替TFTP。如:
本文關鍵詞:路由器配置,由筆耕文化傳播整理發(fā)布。
,本文編號:45026
本文鏈接:http://lk138.cn/kejilunwen/jisuanjikexuelunwen/45026.html