cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪)
本文為大家介紹cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪),下面和小編一起看看詳細(xì)內(nèi)容吧。
cisco路由器初始化必備的安全命令
一、路由器訪問控制的安全設(shè)置
1.嚴(yán)格控制可以訪問路由器的管理員。所有維護(hù)都需要記錄和歸檔。
www.ttep.cn
2、不建議遠(yuǎn)程訪問路由器。即使需要遠(yuǎn)程訪問路由器,也推薦使用access
控制列表和強(qiáng)密碼控制。
3.嚴(yán)格控制對(duì)con口的訪問。具體措施包括:
a.如果機(jī)箱可以開機(jī),可以把連接到con口的物理線剪掉。
b.可以改變默認(rèn)的連接屬性,比如修改波特率(默認(rèn)是96000,可以改成其他)。
c、使用訪問控制列表來(lái)控制對(duì)con口的訪問。
如:router(config)#access-list 1 permit 192.168.0.1
路由器(配置)#line con 0
router(config-line)#transport input none
router(config-line)#登錄本地
路由器(配置行)#exec-timeoute 5 0
路由器(配置行)#access-class 1 in
路由器(配置行)#end
d、為con口設(shè)置高強(qiáng)度密碼。
www.ttep.cn
4. 如果不使用aux 端口,請(qǐng)禁用此端口。默認(rèn)未啟用。禁止如:
路由器(配置)#line aux 0
router(config-line)#transport 輸入無(wú)
路由器(配置行)#no exec
5、建議采用權(quán)限分級(jí)策略。喜歡:
路由器(配置)#username blushin 權(quán)限10 g00dpa55w0rd
路由器(配置)#privilege exec 級(jí)別10 telnet
路由器(配置)#privilege exec 級(jí)別10 顯示ip 訪問列表
6. 為進(jìn)入特權(quán)模式設(shè)置強(qiáng)密碼。不要使用enable password 來(lái)設(shè)置密碼。相反,使用enable secret 命令來(lái)設(shè)置它。并啟用服務(wù)密碼加密。
7.控制對(duì)vty的訪問。如果不需要遠(yuǎn)程訪問,請(qǐng)禁用他。如果需要,請(qǐng)務(wù)必設(shè)置強(qiáng)密碼。由于vty在網(wǎng)絡(luò)傳輸過(guò)程中是加密的,因此需要嚴(yán)格控制。如:設(shè)置強(qiáng)密碼;控制并發(fā)連接數(shù);使用訪問列表嚴(yán)格控制訪問地址;使用aaa設(shè)置用戶的訪問控制等。
8、建議使用ftp而不是tftp進(jìn)行ios升級(jí)備份,設(shè)置文件的備份。喜歡:
路由器(配置)#ip ftp 用戶名blushin
路由器(配置)#ip ftp 密碼4tppa55w0rd
路由器#copy startup-config ftp:
9、及時(shí)升級(jí)和修補(bǔ)ios軟件。
2.路由器網(wǎng)絡(luò)服務(wù)安全設(shè)置
1. 禁止cdp(cisco discovery protocol)。喜歡:
路由器(配置)#no cdp run
router(config-if)# 沒有啟用cdp
www.ttep.cn
2.禁止其他tcp和udp small服務(wù)。
路由器(配置)# 無(wú)服務(wù)tcp-small-servers
路由器(配置)# 無(wú)服務(wù)udp-samll-servers
3.禁用finger服務(wù)。
路由器(配置)# 沒有ip 手指
路由器(配置)#沒有服務(wù)手指
4、建議關(guān)閉http服務(wù)。
路由器(配置)# 沒有ip http 服務(wù)器
如果啟用了http 服務(wù),則需要配置其安全設(shè)置:設(shè)置用戶名和密碼;使用訪問列表來(lái)控制。喜歡:
router(config)# 用戶名blushin 特權(quán)10 g00dpa55w0rd
路由器(配置)# ip http auth local
路由器(配置)#無(wú)訪問列表10
路由器(配置)#訪問列表10 允許192.168.0.1
路由器(配置)# 訪問列表10 拒絕任何
路由器(配置)# ip http 訪問類10
路由器(配置)# ip http 服務(wù)器
路由器(配置)#退出
5.禁用bootp服務(wù)。
路由器(配置)# no ip bootp server
禁用從網(wǎng)絡(luò)啟動(dòng)和從網(wǎng)絡(luò)自動(dòng)下載初始設(shè)置文件。
router(config)# 無(wú)開機(jī)網(wǎng)絡(luò)
router(config)# 無(wú)服務(wù)配置
6. 禁用ip 源路由。
路由器(配置)# no ip source-route
7、如果不需要arp-proxy服務(wù),建議關(guān)閉,路由器默認(rèn)開啟。
路由器(配置)# no ip proxy-arp
路由器(config-if)# no ip proxy-arp
8.明確禁止ip定向廣播。
路由器(配置)# no ip directed-broadcast
9. 禁止ip classless。
路由器(配置)# 沒有ip 無(wú)類
10. 禁止ip unreachables、redirects、mask replies of icmp 協(xié)議。
router(config-if)# 沒有ip 不可達(dá)
router(config-if)# 沒有ip 重定向
路由器(config-if)# no ip mask-reply
www.ttep.cn
11、建議關(guān)閉snmp協(xié)議服務(wù)。禁用時(shí)必須刪除snmp 服務(wù)的一些默認(rèn)設(shè)置。或者需要訪問列表來(lái)過(guò)濾。喜歡:
router(config)# no snmp-server community public 羅
路由器(配置)# no snmp-server community admin rw
路由器(配置)#無(wú)訪問列表70
路由器(配置)# 訪問列表70 拒絕任何
router(config)# snmp-server community 更硬public ro 70
router(config)# no snmp-server 啟用陷阱
路由器(配置)# no snmp-server system-shutdown
路由器(配置)# no snmp-server trap-anth
路由器(配置)# 沒有snmp 服務(wù)器
路由器(配置)#結(jié)束
12. 如無(wú)必要,禁用wins 和dns 服務(wù)。
路由器(配置)# no ip domain-lookup
如果需要需要設(shè)置:
路由器(配置)#主機(jī)名路由器
路由器(配置)# ip 名稱服務(wù)器202.102.134.96
13. 明確禁止未使用的端口。
路由器(配置)# 接口eth0/3
路由器(配置)#關(guān)機(jī)
好了,cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪)的介紹到這里就結(jié)束了,想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。
錘子手機(jī)連電腦沒反應(yīng)(錘子手機(jī)連不上wifi怎么辦)
電腦俠盜飛車5在哪下載(俠盜飛車五電腦版)
努比亞z7mini音質(zhì)怎么樣
魔獸世界手機(jī)下載安裝(魔獸世界手游版下載安裝)
自己安裝機(jī)械硬盤安裝教程,機(jī)械硬盤怎么安裝
cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪)
u盤與硬盤哪個(gè)好,硬盤與u盤相比的優(yōu)勢(shì)
掃一掃識(shí)別物品真?zhèn)?掃一掃識(shí)別物品價(jià)格軟件)
win11實(shí)時(shí)保護(hù)怎么永久關(guān)閉(win10實(shí)時(shí)保護(hù)老是自動(dòng)開啟)
word應(yīng)用基礎(chǔ)知識(shí)(word應(yīng)用技巧實(shí)例大全)
微信發(fā)送文件總是失敗怎么辦(微信發(fā)送文件老是失敗)
excel 快捷鍵使用大全(excel快捷鍵使用技巧大全)
cpu過(guò)熱會(huì)怎么樣(cpu過(guò)熱會(huì)不會(huì)燒壞)
榮耀v20和小米mix2s哪個(gè)性價(jià)比高(榮耀v20對(duì)比小米mix2s)
怎么安裝谷歌框架,小米平板怎么安裝谷歌服務(wù)框架
小米4邊框縫隙怎么修復(fù),小米手機(jī)軟件圖標(biāo)的邊框怎么去啊昨天就好好的今天怎么突然出
三星c5和c9哪個(gè)好(三星c7和c5手機(jī)殼通用嗎)
win7原版安裝步驟(win7原版安裝過(guò)程)
臺(tái)式電腦硬盤線,臺(tái)式電腦硬盤跟主板的連接線規(guī)格都是一樣的嗎
vivox6怎么訂時(shí)發(fā)短信
cisco路由器初始化必備的安全命令
一、路由器訪問控制的安全設(shè)置
1.嚴(yán)格控制可以訪問路由器的管理員。所有維護(hù)都需要記錄和歸檔。
www.ttep.cn
2、不建議遠(yuǎn)程訪問路由器。即使需要遠(yuǎn)程訪問路由器,也推薦使用access
控制列表和強(qiáng)密碼控制。
3.嚴(yán)格控制對(duì)con口的訪問。具體措施包括:
a.如果機(jī)箱可以開機(jī),可以把連接到con口的物理線剪掉。
b.可以改變默認(rèn)的連接屬性,比如修改波特率(默認(rèn)是96000,可以改成其他)。
c、使用訪問控制列表來(lái)控制對(duì)con口的訪問。
如:router(config)#access-list 1 permit 192.168.0.1
路由器(配置)#line con 0
router(config-line)#transport input none
router(config-line)#登錄本地
路由器(配置行)#exec-timeoute 5 0
路由器(配置行)#access-class 1 in
路由器(配置行)#end
d、為con口設(shè)置高強(qiáng)度密碼。
www.ttep.cn
4. 如果不使用aux 端口,請(qǐng)禁用此端口。默認(rèn)未啟用。禁止如:
路由器(配置)#line aux 0
router(config-line)#transport 輸入無(wú)
路由器(配置行)#no exec
5、建議采用權(quán)限分級(jí)策略。喜歡:
路由器(配置)#username blushin 權(quán)限10 g00dpa55w0rd
路由器(配置)#privilege exec 級(jí)別10 telnet
路由器(配置)#privilege exec 級(jí)別10 顯示ip 訪問列表
6. 為進(jìn)入特權(quán)模式設(shè)置強(qiáng)密碼。不要使用enable password 來(lái)設(shè)置密碼。相反,使用enable secret 命令來(lái)設(shè)置它。并啟用服務(wù)密碼加密。
7.控制對(duì)vty的訪問。如果不需要遠(yuǎn)程訪問,請(qǐng)禁用他。如果需要,請(qǐng)務(wù)必設(shè)置強(qiáng)密碼。由于vty在網(wǎng)絡(luò)傳輸過(guò)程中是加密的,因此需要嚴(yán)格控制。如:設(shè)置強(qiáng)密碼;控制并發(fā)連接數(shù);使用訪問列表嚴(yán)格控制訪問地址;使用aaa設(shè)置用戶的訪問控制等。
8、建議使用ftp而不是tftp進(jìn)行ios升級(jí)備份,設(shè)置文件的備份。喜歡:
路由器(配置)#ip ftp 用戶名blushin
路由器(配置)#ip ftp 密碼4tppa55w0rd
路由器#copy startup-config ftp:
9、及時(shí)升級(jí)和修補(bǔ)ios軟件。
2.路由器網(wǎng)絡(luò)服務(wù)安全設(shè)置
1. 禁止cdp(cisco discovery protocol)。喜歡:
路由器(配置)#no cdp run
router(config-if)# 沒有啟用cdp
www.ttep.cn
2.禁止其他tcp和udp small服務(wù)。
路由器(配置)# 無(wú)服務(wù)tcp-small-servers
路由器(配置)# 無(wú)服務(wù)udp-samll-servers
3.禁用finger服務(wù)。
路由器(配置)# 沒有ip 手指
路由器(配置)#沒有服務(wù)手指
4、建議關(guān)閉http服務(wù)。
路由器(配置)# 沒有ip http 服務(wù)器
如果啟用了http 服務(wù),則需要配置其安全設(shè)置:設(shè)置用戶名和密碼;使用訪問列表來(lái)控制。喜歡:
router(config)# 用戶名blushin 特權(quán)10 g00dpa55w0rd
路由器(配置)# ip http auth local
路由器(配置)#無(wú)訪問列表10
路由器(配置)#訪問列表10 允許192.168.0.1
路由器(配置)# 訪問列表10 拒絕任何
路由器(配置)# ip http 訪問類10
路由器(配置)# ip http 服務(wù)器
路由器(配置)#退出
5.禁用bootp服務(wù)。
路由器(配置)# no ip bootp server
禁用從網(wǎng)絡(luò)啟動(dòng)和從網(wǎng)絡(luò)自動(dòng)下載初始設(shè)置文件。
router(config)# 無(wú)開機(jī)網(wǎng)絡(luò)
router(config)# 無(wú)服務(wù)配置
6. 禁用ip 源路由。
路由器(配置)# no ip source-route
7、如果不需要arp-proxy服務(wù),建議關(guān)閉,路由器默認(rèn)開啟。
路由器(配置)# no ip proxy-arp
路由器(config-if)# no ip proxy-arp
8.明確禁止ip定向廣播。
路由器(配置)# no ip directed-broadcast
9. 禁止ip classless。
路由器(配置)# 沒有ip 無(wú)類
10. 禁止ip unreachables、redirects、mask replies of icmp 協(xié)議。
router(config-if)# 沒有ip 不可達(dá)
router(config-if)# 沒有ip 重定向
路由器(config-if)# no ip mask-reply
www.ttep.cn
11、建議關(guān)閉snmp協(xié)議服務(wù)。禁用時(shí)必須刪除snmp 服務(wù)的一些默認(rèn)設(shè)置。或者需要訪問列表來(lái)過(guò)濾。喜歡:
router(config)# no snmp-server community public 羅
路由器(配置)# no snmp-server community admin rw
路由器(配置)#無(wú)訪問列表70
路由器(配置)# 訪問列表70 拒絕任何
router(config)# snmp-server community 更硬public ro 70
router(config)# no snmp-server 啟用陷阱
路由器(配置)# no snmp-server system-shutdown
路由器(配置)# no snmp-server trap-anth
路由器(配置)# 沒有snmp 服務(wù)器
路由器(配置)#結(jié)束
12. 如無(wú)必要,禁用wins 和dns 服務(wù)。
路由器(配置)# no ip domain-lookup
如果需要需要設(shè)置:
路由器(配置)#主機(jī)名路由器
路由器(配置)# ip 名稱服務(wù)器202.102.134.96
13. 明確禁止未使用的端口。
路由器(配置)# 接口eth0/3
路由器(配置)#關(guān)機(jī)
好了,cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪)的介紹到這里就結(jié)束了,想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。
錘子手機(jī)連電腦沒反應(yīng)(錘子手機(jī)連不上wifi怎么辦)
電腦俠盜飛車5在哪下載(俠盜飛車五電腦版)
努比亞z7mini音質(zhì)怎么樣
魔獸世界手機(jī)下載安裝(魔獸世界手游版下載安裝)
自己安裝機(jī)械硬盤安裝教程,機(jī)械硬盤怎么安裝
cisco路由器初始化必備安全命令是什么(cisco路由器初始化必備安全命令在哪)
u盤與硬盤哪個(gè)好,硬盤與u盤相比的優(yōu)勢(shì)
掃一掃識(shí)別物品真?zhèn)?掃一掃識(shí)別物品價(jià)格軟件)
win11實(shí)時(shí)保護(hù)怎么永久關(guān)閉(win10實(shí)時(shí)保護(hù)老是自動(dòng)開啟)
word應(yīng)用基礎(chǔ)知識(shí)(word應(yīng)用技巧實(shí)例大全)
微信發(fā)送文件總是失敗怎么辦(微信發(fā)送文件老是失敗)
excel 快捷鍵使用大全(excel快捷鍵使用技巧大全)
cpu過(guò)熱會(huì)怎么樣(cpu過(guò)熱會(huì)不會(huì)燒壞)
榮耀v20和小米mix2s哪個(gè)性價(jià)比高(榮耀v20對(duì)比小米mix2s)
怎么安裝谷歌框架,小米平板怎么安裝谷歌服務(wù)框架
小米4邊框縫隙怎么修復(fù),小米手機(jī)軟件圖標(biāo)的邊框怎么去啊昨天就好好的今天怎么突然出
三星c5和c9哪個(gè)好(三星c7和c5手機(jī)殼通用嗎)
win7原版安裝步驟(win7原版安裝過(guò)程)
臺(tái)式電腦硬盤線,臺(tái)式電腦硬盤跟主板的連接線規(guī)格都是一樣的嗎
vivox6怎么訂時(shí)發(fā)短信