【最新】路由器的安全配置-中国科技网工作交流会

路由器的安全配置 中国科技网工作交流会2010年4月16日何群辉 1 PPT专业文档 概述 路由器的安全目标路由器安全策略的基础可实施的路由器安全配置 2 PPT专业文档 路由器的安全目标 防止对路由器的未经授权的访问防止对网络的未经授权的访问防止网络数据窃听防止欺骗性路由更新 3 PPT专业文档 路由器安全策略的基础 找出需要保护的网络资源确定危险之处限制访问范围确定安全措施的代价物理安全 4 PPT专业文档 可实施的路由器安全配置 路由器访问安全路由器网络服务安全配置访问控制列表和过滤路由的安全配置日志和管理 5 PPT专业文档 路由器访问安全 物理运行环境的安全性 合适的温度和湿度不受电磁干扰使用UPS电源供电等 6 PPT专业文档 路由器访问安全 交互式访问控制 7 PPT专业文档 路由器访问安全 交互式访问控制 使用实例 仅允许159 226 58 0这一个C的地址 159 226 1 032个地址通过vty登录路由器cisco enablepassword 输入enable口令cisco configtcisco config ipaccess liststandard99 先一个标准控制列表 cisco config std nacl permit159 226 58 00 0 0 255cisco config std nacl permit159 226 1 00 0 0 31cisco config std nacl denyanycisco config std nacl exitcisco config linevty04 在虚拟终端应用控制列表 cisco config line access class99incisco config line exec timeout5 超过5分钟后 无任何操作 就取消该连接会话cisco config line exitcisco write 保存配置 8 PPT专业文档 路由器访问安全 本地口令安全配置 9 PPT专业文档 路由器访问安全 本地口令安全配置 使用实例 设置一个enable口令 同时启用密码加密服务cisco enable 没配置特权密码时 输入enable 直接进入特权配置模式 cisco configtcisco config enablesecret密码cisco config servicepassword enacryption 10 PPT专业文档 路由器网络服务安全配置 基于TCP和UDP协议的小服务 11 PPT专业文档 路由器网络服务安全配置 使用实例 如果发现在路由器上启用了这些小服务 就可以通过这些命令禁止 一般来说现在的路由器设备和三层交换机都默认不启用这些小服务 cisco enablepassword 输入enable口令cisco configtcisco config noservicetcp small serverscisco config noserviceudp small servers 12 PPT专业文档 路由器网络服务安全配置 Finger NTP CDP等服务 13 PPT专业文档 路由器网络服务安全配置 使用实例 如路由器启用了finger服务 可用下列命令禁用finger服务cisco enablepassword 输入enable口令cisco configtcisco config noservicefinger 禁止CDP CiscoDiscoveryProtocol cisco config nocdp 全局模式配置禁止cdp 14 PPT专业文档 路由器网络服务安全配置 ntp的认证配置分中心核心设备配置 cisco config ntpauthenticatecisco config ntpauthentication key10md5ntp密码 定义的认证串并将其赋值 所级路由器配置 cisco config ntpauthenticatecisco config ntpauthentication key10md5ntp密码cisco config ntptrusted key10cisco config ntpserver分中心核心设备loopback地址key10 15 PPT专业文档 访问控制列表和过滤 防止外部对内部进行IP地址欺骗 16 PPT专业文档 访问控制列表和过滤 防止外部IP地址欺骗 使用实例 防止外部对内部159 226 1 0一个C地址进行ip地址欺骗cisco config ipaccess listextended101 定义扩展列表号cisco config ext nacl denyip159 226 1 00 0 0 255anycisco config ext nacl permintanyanycisco config ext nacl exitcisco config interfaceGigabitEthernet0 1 外口端口号 cisco config if ipaccess group101in 在外口的in方向上应用该扩展列表 17 PPT专业文档 访问控制列表和过滤 防止外部IP地址欺骗 使用实例 cisco config ipcef 启用快速交换cisco config interfaceg0 0 外口端口 cisco config if ipverifyunicastreverse pathacl 在接口上启用UnicastRPF ACL为可选项注意 对路由器的性能影响较大 最好是用在外部连入路由器的状态 并且把内存加大些 否则可能会死机的 18 PPT专业文档 访问控制列表和过滤 防止外部的非法探测 19 PPT专业文档 访问控制列表和过滤 防止外部的非法探测 使用实例 cisco config ipaccess listextended102cisco config ext nacl denyicmpanyanyecho 阻止ping探测网络cisco config ext nacl denyicmpanyanytime exceeded 阻止阻止答复输出 不阻止探测进入cisco config ext nacl permintanyanycisco config ext nacl exitcisco config interfaceg0 0 在外口上应用该列表cisco config if ipaccess group102out 20 PPT专业文档 访问控制列表和过滤 阻止对关键端口的非法访问针对sql slammer Netbios Worm Dvldr 蠕虫的访问列表 21 PPT专业文档 访问控制列表和过滤 阻止对关键端口的非法访问 使用实例 cisco config ipaccess listextended150cisco config ext nacl denydenytcpanyanyeq135 禁止使用RPC远程过程调用服务端口cisco config ext nacl denydenytcpanyanyeq139 禁止使用对外提供共享服务端口cisco config ext nacl denydenyudpanyanyeq135cisco config ext nacl denydenytcpanyanyeq137 禁止提供名称服务端口cisco config ext nacl denydenytcpanyanyeq138 禁止提供名称服务端口cisco config ext nacl permintanyanycisco config ext nacl exitcisco config interfaceg0 0 在外口上应用该列表cisco config if ipaccess group150in 22 PPT专业文档 访问控制列表和过滤 针对sql slammer Netbios Worm Dvldr 蠕虫的访问列表 使用实例 cisco config ipaccess listextended150cisco config ext nacl denydenyudpanyanyeq1434 用于控制slammerwormcisco config ext nacl denydenytcpanyanyeq445 用于控制蠕虫的扫描和感染cisco config ext nacl denydenytcpanyanyeq5554 防止震荡波病毒攻击cisco config ext nacl denydenytcpanyanyeq9996 防止震荡波病毒攻击cisco config ext nacl denydenytcpanyanyeq5800 用于防止受感染的系统被远程控制cisco config ext nacl denydenytcpanyanyeq5900 用于防止受感染的系统被远程控制cisco config ext nacl deny250anyany 防止Dvldr32蠕虫攻击cisco config ext nacl deny0anyany 用于控制ip协议为0的流量cisco config ext nacl permintanyanycisco config ext nacl exitcisco config interfaceg0 0 在外口上应用该列表cisco config if ipaccess group150in 23 PPT专业文档 路由的安全 防止Icmp重定向攻击禁止使用源路由防止本网络做为中间代理 24 PPT专业文档 路由的安全 使用实例 cisco config arp159 226 0 6xxxx xxxx xxxxarpa mac地址绑定cisco config noipsource route 禁止使用源路由cisco config interfaceg0 0cisco config if noipdirected broadcast 端口上设置禁止发送广播包cisco config noipredirects 禁止使用IP重定向 25 PPT专业文档 日志和管理 日志的保存和管理 26 PPT专业文档 日志和管理 使用实例 指定日志服务器cisco config loggingsyslog159 226 8 181cisco config loggingsource interfaceLoopback0 定义本地缓存大小cisco config loggingbuffered1000000 27 PPT专业文档 路由管理服务的安全配置 28 PPT专业文档 路由管理服务的安全配置 续 使用实例 cisco config ipaccess listextended150cisco config ext nacl permitudp159 226