企业路由器的安全设置-mx11-ChinaUnix博客

Just do itmaoxin.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

mx11

博客访问： 12595558
博文数量： 187
博客积分： 7517
博客等级：少将
技术积分： 1981
用户组：普通用户
注册时间： 2007-05-20 18:51

文章分类

全部博文（187）

生活（10）

儿童教育（0）
学习（17）

TC4（1）

C#学习笔记(2011)（1）

HP-UNIX CSA（0）

双机热备（0）

Cisco（0）

SNMP（0）

加密解密（0）

Symantec（0）

NTP时间服务器（0）

C++/C（0）

PhotoShop（0）

ASP/ASP.NET（1）

Java（0）

Web（0）

Flash（0）

Database（1）

Net（3）

Security（0）

Linux（0）

Windows（10）
工作（0）
未分配的博文（160）

文章存档

2015年（3）

2013年（4）

2012年（20）

2011年（2）

2010年（96）

2009年（14）

2008年（47）

2007年（1）

我的朋友

相关博文

企业路由器的安全设置

分类：网络与安全

2008-03-03 12:52:33

企业路由器的安全设置

2008年3月3日

企业路由器是企业局域网连接外网的闸门，一切数据都要在这里进出，如何设置才能保证他的安全？（以CISCO路由器为例）

1、 关闭HTTP设置：

http实用的身份识别协议是不需要加密验证的，远程管理路由器最好不用HTTP协议

关闭该协议：

# no ip http server

2、 关闭SNMP或者合理设置SNMP：

# no snmp-server

用安全的方法在路由器上配置SNMP

# snmp-server community 5xxxxx RO 98

# Snmp-servertrap-source loopback

# Snmp-server trap-authencation

# Snmp-server enable traps config

# Snmp-server host 220.201.120.x 5xxxxx

#access-list 98 permit host 10.161.19x.x

3、 禁用TELNET或定向TELNET配置：

# line vty 0 4

# transport input telnet

# service tcp-keepalives-in

# service tcp-keepalives-out

# line vty 4

# access-class 6 in

# access-list 6 permit host 10.161.19x.x

# access-list 6 deny any log

4、 升级路由器操作系统：

Tftp ftp 均可，升级前要做好备份。

5、 禁用ICMP协议：

# (config)#access-list 110 deny icmp any any echo log
# (config)#access-list 110 deny icmp any any echo-reply log
# (config)#access-list 110 permit ip any any
# (config-if)#ip access-group 110
还要应用一下
#swtich#int ser0/1
#switch#ip access-group 110 in

默认情况下，路由器发送ICMP重定向，可以使用接口命令禁用icmp重定向。

# no ip redirects

6、 禁用IP源路由：

能够用于破坏正常路由协议的工作，给攻击者一个优势，明智的选择是关掉它。

# int s0

# no ip source-route

7、 关闭不必要的服务：

Tcp小型服务：echo 、chargen、discard、daytime

Udp小型服务：echo、chargen、discard

命令格式：

# no service tcp-small-serv

# no service udp-small-serv

# no ipfinger

# no service finger

# no ip bootp-server

# no ip dhcp-server

# no boot network

# no service config

# no cdp running (全局)

# no cdp enable (在一个接口上)

# ntp disable (在一个接口上)

阅读(798) | 评论(0) | 转发(0) |

上一篇：SolarWinds Orion 安装记录

下一篇：如何开启windows2003的3389？

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6