cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪)
本文為大家介紹cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪),下面和小編一起看看詳細內容吧。
cisco路由器初始化必備的安全命令
一、路由器訪問控制的安全設置
1.嚴格控制可以訪問路由器的管理員。所有維護都需要記錄和歸檔。
www.ttep.cn
2、不建議遠程訪問路由器。即使需要遠程訪問路由器,也推薦使用access
控制列表和強密碼控制。
3.嚴格控制對con口的訪問。具體措施包括:
a.如果機箱可以開機,可以把連接到con口的物理線剪掉。
b.可以改變默認的連接屬性,比如修改波特率(默認是96000,可以改成其他)。
c、使用訪問控制列表來控制對con口的訪問。
如:router(config)#access-list 1 permit 192.168.0.1
路由器(配置)#line con 0
router(config-line)#transport input none
router(config-line)#登錄本地
路由器(配置行)#exec-timeoute 5 0
路由器(配置行)#access-class 1 in
路由器(配置行)#end
d、為con口設置高強度密碼。
www.ttep.cn
4. 如果不使用aux 端口,請禁用此端口。默認未啟用。禁止如:
路由器(配置)#line aux 0
router(config-line)#transport 輸入無
路由器(配置行)#no exec
5、建議采用權限分級策略。喜歡:
路由器(配置)#username blushin 權限10 g00dpa55w0rd
路由器(配置)#privilege exec 級別10 telnet
路由器(配置)#privilege exec 級別10 顯示ip 訪問列表
6. 為進入特權模式設置強密碼。不要使用enable password 來設置密碼。相反,使用enable secret 命令來設置它。并啟用服務密碼加密。
7.控制對vty的訪問。如果不需要遠程訪問,請禁用他。如果需要,請務必設置強密碼。由于vty在網絡傳輸過程中是加密的,因此需要嚴格控制。如:設置強密碼;控制并發連接數;使用訪問列表嚴格控制訪問地址;使用aaa設置用戶的訪問控制等。
8、建議使用ftp而不是tftp進行ios升級備份,設置文件的備份。喜歡:
路由器(配置)#ip ftp 用戶名blushin
路由器(配置)#ip ftp 密碼4tppa55w0rd
路由器#copy startup-config ftp:
9、及時升級和修補ios軟件。
2.路由器網絡服務安全設置
1. 禁止cdp(cisco discovery protocol)。喜歡:
路由器(配置)#no cdp run
router(config-if)# 沒有啟用cdp
www.ttep.cn
2.禁止其他tcp和udp small服務。
路由器(配置)# 無服務tcp-small-servers
路由器(配置)# 無服務udp-samll-servers
3.禁用finger服務。
路由器(配置)# 沒有ip 手指
路由器(配置)#沒有服務手指
4、建議關閉http服務。
路由器(配置)# 沒有ip http 服務器
如果啟用了http 服務,則需要配置其安全設置:設置用戶名和密碼;使用訪問列表來控制。喜歡:
router(config)# 用戶名blushin 特權10 g00dpa55w0rd
路由器(配置)# ip http auth local
路由器(配置)#無訪問列表10
路由器(配置)#訪問列表10 允許192.168.0.1
路由器(配置)# 訪問列表10 拒絕任何
路由器(配置)# ip http 訪問類10
路由器(配置)# ip http 服務器
路由器(配置)#退出
5.禁用bootp服務。
路由器(配置)# no ip bootp server
禁用從網絡啟動和從網絡自動下載初始設置文件。
router(config)# 無開機網絡
router(config)# 無服務配置
6. 禁用ip 源路由。
路由器(配置)# no ip source-route
7、如果不需要arp-proxy服務,建議關閉,路由器默認開啟。
路由器(配置)# no ip proxy-arp
路由器(config-if)# no ip proxy-arp
8.明確禁止ip定向廣播。
路由器(配置)# no ip directed-broadcast
9. 禁止ip classless。
路由器(配置)# 沒有ip 無類
10. 禁止ip unreachables、redirects、mask replies of icmp 協議。
router(config-if)# 沒有ip 不可達
router(config-if)# 沒有ip 重定向
路由器(config-if)# no ip mask-reply
www.ttep.cn
11、建議關閉snmp協議服務。禁用時必須刪除snmp 服務的一些默認設置。或者需要訪問列表來過濾。喜歡:
router(config)# no snmp-server community public 羅
路由器(配置)# no snmp-server community admin rw
路由器(配置)#無訪問列表70
路由器(配置)# 訪問列表70 拒絕任何
router(config)# snmp-server community 更硬public ro 70
router(config)# no snmp-server 啟用陷阱
路由器(配置)# no snmp-server system-shutdown
路由器(配置)# no snmp-server trap-anth
路由器(配置)# 沒有snmp 服務器
路由器(配置)#結束
12. 如無必要,禁用wins 和dns 服務。
路由器(配置)# no ip domain-lookup
如果需要需要設置:
路由器(配置)#主機名路由器
路由器(配置)# ip 名稱服務器202.102.134.96
13. 明確禁止未使用的端口。
路由器(配置)# 接口eth0/3
路由器(配置)#關機
好了,cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪)的介紹到這里就結束了,想知道更多相關資料可以收藏我們的網站。
錘子手機連電腦沒反應(錘子手機連不上wifi怎么辦)
電腦俠盜飛車5在哪下載(俠盜飛車五電腦版)
努比亞z7mini音質怎么樣
魔獸世界手機下載安裝(魔獸世界手游版下載安裝)
自己安裝機械硬盤安裝教程,機械硬盤怎么安裝
cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪)
u盤與硬盤哪個好,硬盤與u盤相比的優勢
掃一掃識別物品真偽(掃一掃識別物品價格軟件)
win11實時保護怎么永久關閉(win10實時保護老是自動開啟)
word應用基礎知識(word應用技巧實例大全)
微信發送文件總是失敗怎么辦(微信發送文件老是失敗)
excel 快捷鍵使用大全(excel快捷鍵使用技巧大全)
cpu過熱會怎么樣(cpu過熱會不會燒壞)
榮耀v20和小米mix2s哪個性價比高(榮耀v20對比小米mix2s)
怎么安裝谷歌框架,小米平板怎么安裝谷歌服務框架
小米4邊框縫隙怎么修復,小米手機軟件圖標的邊框怎么去啊昨天就好好的今天怎么突然出
三星c5和c9哪個好(三星c7和c5手機殼通用嗎)
win7原版安裝步驟(win7原版安裝過程)
臺式電腦硬盤線,臺式電腦硬盤跟主板的連接線規格都是一樣的嗎
vivox6怎么訂時發短信
cisco路由器初始化必備的安全命令
一、路由器訪問控制的安全設置
1.嚴格控制可以訪問路由器的管理員。所有維護都需要記錄和歸檔。
www.ttep.cn
2、不建議遠程訪問路由器。即使需要遠程訪問路由器,也推薦使用access
控制列表和強密碼控制。
3.嚴格控制對con口的訪問。具體措施包括:
a.如果機箱可以開機,可以把連接到con口的物理線剪掉。
b.可以改變默認的連接屬性,比如修改波特率(默認是96000,可以改成其他)。
c、使用訪問控制列表來控制對con口的訪問。
如:router(config)#access-list 1 permit 192.168.0.1
路由器(配置)#line con 0
router(config-line)#transport input none
router(config-line)#登錄本地
路由器(配置行)#exec-timeoute 5 0
路由器(配置行)#access-class 1 in
路由器(配置行)#end
d、為con口設置高強度密碼。
www.ttep.cn
4. 如果不使用aux 端口,請禁用此端口。默認未啟用。禁止如:
路由器(配置)#line aux 0
router(config-line)#transport 輸入無
路由器(配置行)#no exec
5、建議采用權限分級策略。喜歡:
路由器(配置)#username blushin 權限10 g00dpa55w0rd
路由器(配置)#privilege exec 級別10 telnet
路由器(配置)#privilege exec 級別10 顯示ip 訪問列表
6. 為進入特權模式設置強密碼。不要使用enable password 來設置密碼。相反,使用enable secret 命令來設置它。并啟用服務密碼加密。
7.控制對vty的訪問。如果不需要遠程訪問,請禁用他。如果需要,請務必設置強密碼。由于vty在網絡傳輸過程中是加密的,因此需要嚴格控制。如:設置強密碼;控制并發連接數;使用訪問列表嚴格控制訪問地址;使用aaa設置用戶的訪問控制等。
8、建議使用ftp而不是tftp進行ios升級備份,設置文件的備份。喜歡:
路由器(配置)#ip ftp 用戶名blushin
路由器(配置)#ip ftp 密碼4tppa55w0rd
路由器#copy startup-config ftp:
9、及時升級和修補ios軟件。
2.路由器網絡服務安全設置
1. 禁止cdp(cisco discovery protocol)。喜歡:
路由器(配置)#no cdp run
router(config-if)# 沒有啟用cdp
www.ttep.cn
2.禁止其他tcp和udp small服務。
路由器(配置)# 無服務tcp-small-servers
路由器(配置)# 無服務udp-samll-servers
3.禁用finger服務。
路由器(配置)# 沒有ip 手指
路由器(配置)#沒有服務手指
4、建議關閉http服務。
路由器(配置)# 沒有ip http 服務器
如果啟用了http 服務,則需要配置其安全設置:設置用戶名和密碼;使用訪問列表來控制。喜歡:
router(config)# 用戶名blushin 特權10 g00dpa55w0rd
路由器(配置)# ip http auth local
路由器(配置)#無訪問列表10
路由器(配置)#訪問列表10 允許192.168.0.1
路由器(配置)# 訪問列表10 拒絕任何
路由器(配置)# ip http 訪問類10
路由器(配置)# ip http 服務器
路由器(配置)#退出
5.禁用bootp服務。
路由器(配置)# no ip bootp server
禁用從網絡啟動和從網絡自動下載初始設置文件。
router(config)# 無開機網絡
router(config)# 無服務配置
6. 禁用ip 源路由。
路由器(配置)# no ip source-route
7、如果不需要arp-proxy服務,建議關閉,路由器默認開啟。
路由器(配置)# no ip proxy-arp
路由器(config-if)# no ip proxy-arp
8.明確禁止ip定向廣播。
路由器(配置)# no ip directed-broadcast
9. 禁止ip classless。
路由器(配置)# 沒有ip 無類
10. 禁止ip unreachables、redirects、mask replies of icmp 協議。
router(config-if)# 沒有ip 不可達
router(config-if)# 沒有ip 重定向
路由器(config-if)# no ip mask-reply
www.ttep.cn
11、建議關閉snmp協議服務。禁用時必須刪除snmp 服務的一些默認設置。或者需要訪問列表來過濾。喜歡:
router(config)# no snmp-server community public 羅
路由器(配置)# no snmp-server community admin rw
路由器(配置)#無訪問列表70
路由器(配置)# 訪問列表70 拒絕任何
router(config)# snmp-server community 更硬public ro 70
router(config)# no snmp-server 啟用陷阱
路由器(配置)# no snmp-server system-shutdown
路由器(配置)# no snmp-server trap-anth
路由器(配置)# 沒有snmp 服務器
路由器(配置)#結束
12. 如無必要,禁用wins 和dns 服務。
路由器(配置)# no ip domain-lookup
如果需要需要設置:
路由器(配置)#主機名路由器
路由器(配置)# ip 名稱服務器202.102.134.96
13. 明確禁止未使用的端口。
路由器(配置)# 接口eth0/3
路由器(配置)#關機
好了,cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪)的介紹到這里就結束了,想知道更多相關資料可以收藏我們的網站。
錘子手機連電腦沒反應(錘子手機連不上wifi怎么辦)
電腦俠盜飛車5在哪下載(俠盜飛車五電腦版)
努比亞z7mini音質怎么樣
魔獸世界手機下載安裝(魔獸世界手游版下載安裝)
自己安裝機械硬盤安裝教程,機械硬盤怎么安裝
cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪)
u盤與硬盤哪個好,硬盤與u盤相比的優勢
掃一掃識別物品真偽(掃一掃識別物品價格軟件)
win11實時保護怎么永久關閉(win10實時保護老是自動開啟)
word應用基礎知識(word應用技巧實例大全)
微信發送文件總是失敗怎么辦(微信發送文件老是失敗)
excel 快捷鍵使用大全(excel快捷鍵使用技巧大全)
cpu過熱會怎么樣(cpu過熱會不會燒壞)
榮耀v20和小米mix2s哪個性價比高(榮耀v20對比小米mix2s)
怎么安裝谷歌框架,小米平板怎么安裝谷歌服務框架
小米4邊框縫隙怎么修復,小米手機軟件圖標的邊框怎么去啊昨天就好好的今天怎么突然出
三星c5和c9哪個好(三星c7和c5手機殼通用嗎)
win7原版安裝步驟(win7原版安裝過程)
臺式電腦硬盤線,臺式電腦硬盤跟主板的連接線規格都是一樣的嗎
vivox6怎么訂時發短信