Cisco由器简易安全配

　　很多初级网络管理员在使用思科由器时都会忽略安全设置，以下三个方面非常适合初级的应用者在使用思科由器时对网络安全进行配置。

　　一,由器“访问控制”的安全配置

　　1,严格控制可以访问由器的管理员。任何一次都需要记录备案。

　　2,不要远程访问由器。即使需要远程访问由器，使用访问控制列表和高强度的密码控制。

　　3,严格控制CON端口的访问。具体的措施有:

　　A,如果可以开机箱的，则可以切断与CON口互联的物理线。

　　B,可以改变默认的连接属性，例如修改波特率(默认是96000，可以改为其他的)。

　　C,配合使用访问控制列表控制对CON口的访问。

　　D,给CON口设置高强度的密码。

　　4,如果不使用AUX端口，则这个端口。默认是未被启用。如:

　　5,采用权限分级策略。如:

　　7,控制对VTY的访问。如果不需要远程访问则它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。

　　8,IOS的升级和备份，以及配置文件的备份使用FTP代替TFTP。如:

　　9,及时的升级和修补IOS软件。

　　二,由器“网络服务”的安全配置

　　4,HTTP服务。

　　如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。如:

　　从网络启动和自动从网络下载初始配置文件。

　　7,如果不需要ARP-Proxy服务则它，由器默认识的。

　　11,SNMP协议服务。在时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:

　　12,如果没必要则WINS和DNS服务。

　　如果需要则需要配置:

　　13,明确不使用的端口。

　　三,由器“由协议”的安全配置

　　1,首先默认启用的ARP-Proxy，它容易引起由表的混乱。

　　2,启用OSPF由协议的认证。默认的OSPF认证密码是传输的，启用MD5认证。

　　并设置一定强度密钥(key,相对的由器必须有相同的Key)。

　　并且采用MD5认证。普通认证同样是传输的。

　　!启用设置密钥链

　　!设置密钥字串

　　!采用MD5模式认证，并选择已配置的密钥链

　　4,启用passive-intece命令可以禁用一些不需要接收和转发由信息的端口。

　　但是，在RIP协议是只是转发由信息，并没有接收。在OSPF协议中是转发和接收由信息。

　　!Rip中，端口0/3转发由信息

　　!OSPF中，端口0/3接收和转发由信息

　　5,启用访问列表过滤一些垃圾和恶意由信息,控制网络的垃圾信息流。

　　!由器接收更新192.168.1.0网络的由信息

　　给路由器设置密码!由器转发192.168.1.0网络的由信息

　　它能够检查源IP地址的准确性，从而可以防止一定的IPSpooling。

　　四,由器其他安全配置

　　1,及时的升级IOS软件，并且要迅速的为IOS安装补丁。

　　2,要严格认真的为IOS作安全备份。

　　3,要为由器的配置文件作安全备份。

　　4,购买UPS设备，或者至少要有冗余电源。

　　5,要有完备的由器的安全访问和记录日志。

　　6,要严格设置登录Banner。必须包含非授权用户登录的字样。

　　7,IP得简单防护。如过滤非公有地址访问内部网络。

　　8,采用访问列表控制流出内部网络的地址必须是属于内部网络的。如: