浅谈CISCO由器安全配置

　　基本的CISCO安全配置

　　给路由器设置密码由器是网络中的神经中枢,广域网就是靠一个个由器连接起来组成的,局域网中也已经普片的应用到了由器,在很多企事业单位,已经用到由器来接入网络进行数据通讯了,可以说,曾经神秘的由器,现在已经飞入寻常百姓家了.

　　随着由器的增多,由器的安全性也逐渐成为大家探讨的一个热门话题了,岩冰今天也讲一讲网络安全中由器的安全配置吧.以下文章是本人在工作过程中所记录的学习笔记,今天整理出来,跟大家共享,也算是抛砖引玉吧.

　　1.配置访问控制列表:

　　使用访问控制列表的目的就是为了由器的安全和优化网络的流量.访问列表的作用就是在数据包经过由器某一个端口时,该数据包是否允许转发通过,必须先在访问控制列边查找,如果允许,则通过.所以,由器的前提,还是先考虑配置访问控制列表吧.

　　访问列表有多种形式,最常用的有标准访问列表和扩展访问列表.

　　注释:access-list-number是定义访问列表编号的一个值,范围从1--99.参数deny或permit指定了允许还是数据包.参数source是发送数据包的主机地址.source-wildcard则是发送数据包的主机的通配符.在实际应用中,如果数据包的源地址在访问列表中未能找到,或者是找到了未被允许转发,则该包将会被.为了能详细解释一下,下面是一个简单访问列表示例介绍:

　　配置了访问列表后,就要启用访问控制列表,我们可以在接口配置模式下使用access-group或ipaccess-class命令来指定访问列表应用于某个接口.使用关键字in(out)来定义该接口是出站数据包还是入站数据包.

　　由于标准访问控制列表对使用的端口不进行区别,所以,引入了扩展访问控制列表(列表号从100--199).扩展访问列表能够对数据包的源地址,目的地址和端口等项目进行检查,这其中,任何一个项目都可以导致某个数据包不被允许经过由器接口.简单的配置示例:

　　注释:

　　第一行允许通过TCP协议访问主机10.1.1.2,如果没个连接已经在主机10.1.1.2和某个要访问的远程主机之间建立,则该行不会允许任何数据包通过由器接口,除非回话是从内部企业网内部发起的.第二行允许任何连接到主机172.30.1.3来请求www服务,而所有其他类型的连接将被,这是因为在访问列表自动默认的在列表尾部,有一个denyanyany语句来其他类型连接.第三行是任何FTP连接来访问172.30.1.4主机.第四行是允许所有类型的访问连接到172.30.1.4主机.

　　2.由器的密码