CISCO路由器安全加固-liyf0371-ChinaUnix博客

liyf0371peter1981.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

liyf0371

博客访问： 3321439
博文数量： 631
博客积分： 10716
博客等级：上将
技术积分： 8397
用户组：普通用户
注册时间： 2008-04-01 22:35

文章分类

全部博文（631）

AWS（1）
考试认证（4）
HP-UX（11）
JSP程序设计（0）
Linux集群（9）
网络安全（7）
休闲IT（5）
Aix和IBM小型机（59）
Solaris和Sun小型（51）
Oracle数据库（273）
Cisco网络技术（49）
Linux（82）
Jboss（4）
Shell脚本（74）
未分配的博文（2）

文章存档

2020年（2）

2019年（22）

2018年（4）

2017年（37）

2016年（22）

2015年（1）

2013年（12）

2012年（20）

2011年（19）

2010年（20）

2009年（282）

2008年（190）

我的朋友

相关博文

CISCO路由器安全加固

分类：系统运维

2009-02-25 13:36:25

一、问题的类型和关键字

安全加固

•二、 问题的描述和解决步骤：

中国移动集团公司给各省公司下发了网络、服务器等系统安全加固的规范文件。其中有针对CISCO、华为路由器的安全加固模版。我们根据新疆移动公司网络的实际情况，选择了模版中适用的部分，对新疆移动网络上的大部分CISCO路由器，做了安全加固。

集团公司相关规范内容见附件。

和用户商议后，针对新疆移动的网络设备，安全加固的具体配置内容包括：

//syslog

//router

logging on

logging trap information

logging 10.238.2.102

logging facility local6

logging source-interface loopback0 //not for layer3 module

//switch

set logging server enable

set logging server 10.238.2.102

set logging server facility LOCAL6

set logging server severity 6

//anti-virus access-list，加在72路由器子接口的in方向（不大于61，避开caiji）

ip access-list extended uni-acl

deny tcp any any eq 445

deny tcp any any eq 5800

deny tcp any any eq 5900

deny udp any any eq 1434

deny tcp any any eq 6667

deny tcp any any eq 135

deny udp any any eq 135

deny tcp any any eq 139

deny udp any any eq 139

deny tcp any any eq 593

permit ip any any

//SNMP

access-list 32 permit host 10.238.2.102

access-list 32 permit host 10.238.18.17

snmp-server community xjyd@mdcn RO 32

snmp-server trap-source Loopback0

snmp-s host 10.238.2.102 xjyd@mdcn

//用户名检查

username wuxiaozhong password

......

no username //删除不用的用户

//允许telnet路由器的地址范围，在所有设备上都一致

access-list 5 permit 10.238.2.186

access-list 5 permit 10.238.2.185

access-list 5 permit 10.238.2.134

access-list 5 permit 10.238.2.133

access-list 5 permit 10.238.2.102

access-list 5 permit 10.238.2.118

access-list 5 permit 10.238.2.117

access-list 5 permit 10.238.18.39

//NTP

ntp server 10.238.15.76

access-list 31 permit 10.238.15.0 0.0.0.255

ntp access-group peer 31

ntp source loopback0

ntp update-calendar

clock timezone GMT 8

//所有设备上的统一配置

service password-encryption

service timestamps log datetime localtime

ip tftp source-interface loopback 0

line vty 0 15

access-class 5 in

exec-timeout 10 0

line aux 0

transport input none

exec-timeout 0 1

no exec

line con 0

exec-timeout 10 0

no service tcp-small-servers

no service udp-small-servers

no ip finger

no service finger

no ip http server

no ip bootp server

no ip domain-lookup

//ONLY FOR PE ROUTER:

router bgp 65535

address-family vpnv4

bgp dampening

no ip source-route

interface f //加在72路由器子接口的in方向（不大于61，避开caiji）

no ip proxy-arp

no ip directed-broadcast

no ip redirects

no ip mask-reply

ip access-group uni-acl in

//OSPF MD5加密，基于接口方式

interface:

ip ospf message-digest-key 1 md5 xjyd@mdcn

ip ospf authentication message-digest

•三、 执行结果和遗留问题

按照上诉内容，完成北疆部分的网络安全加固。

在加固过程中，发现采集业务使用了proxy-arp功能，会受到影响，解决办法是先打开路由器上连接采集机的子接口上的proxy-arp，然后修改采集机的IP设置。

其它业务未发现受影响。

阅读(2772) | 评论(0) | 转发(0) |

上一篇：Solaris下修改root口令

下一篇：Cisco 6509的冗余接口设置

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6