整理Cisco路由器安全配置简易方案

1、一,路由器访问限制的平安配置1, 严格限制可以访问路由器的治理员.任何一次维护都需要记录备案.2, 建议不要远程访问路由器.即使需要远程访问路由器,建议使用访问限制列表和高强度的 密码限制.3严格限制CON端口的访问.具体的举措有 ：A, 如果可以开机箱的,那么可以切断与COW互联的物理线 路.B, 可以改变默认的连接届性,例如修改波特率(默认是 96000,可以改为其他的).C, 配合 使用访问限制列表限制对 COW的访问.如:Router(Config)#Access-list1 permit Router(Config)#line con 0Router(Confi

2、g-line)#Transport input noneRouter(Config-line)#Login localRouter(Config-line)#Exec-timeoute 5 0Router(Config-line)#access-class 1 inRouter(Config-line)#endD, 给COW设置高强度的密码.4, 如果不使用AUX端口,那么禁止这个端口.默认是未被启用.禁止如 ：Router(Config)#line aux 0Router(Config-line)#transport input noneRouter(Config-line)#no exec

3、5, 建议采用权限分级策略.如：Router(Config)#username BluShin privilege 10 G00dPa55w0rdRouter(Config)#privilege EXEC level 10 telnetRouter(Config)#privilege EXEC level 10 show ip access-list6, 为特权模式的进入设置强壮的密码.不要采用enable password设置密码.而要采用 enablesecret命令设置.并且要启用Service password-encryption.7, 限制对VTY的访问.如果不需要远程访问那么禁止

4、它.如果需要那么一定要设置强壮的密码.由于VTY在网络的传输过程中为 加密,所以需要对其进行严格的限制.如:设置强壮的密码；限制连接的并发数目；采用访问列表严格限制访问的地址；可以采用AAA设置用户的访问控制等.8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP.如：Router(Config)#ip ftp username BluShinRouter(Config)#ip ftp password 4tppa55w0rdRouter#copy startup-config ftp:9,及时的升级和修补IOS软件.二,路由器网络效劳平安配置1, 禁止 CDP(Cisco D

5、iscovery Protocol) .如:Router(Config)#no cdp runRouter(Config-if)# no cdp enable2, 禁止其他的TCP UDP Small效劳.Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers3, 禁止Finger效劳.Router(Config)# no ip fingerRouter(Config)# no service finger4, 建议禁止 效劳.Router(Config)# no ip s

6、erver如果启用了 效劳那么需要对其进行平安配置 设置用户名和密码；采用访问列表进行限制.如Router(Config)# username BluShin privilege 10 G00dPa55w0rdRouter(Config)# ip auth localRouter(Config)# no access-list 10Router(Config)# access-list 10 permit Router(Config)# access-list 10 deny anyRouter(Config)# ip access-class 10Router(Conf

7、ig)# ip serverRouter(Config)# exit5, 禁止BOOTp艮务.Router(Config)# no ip bootp server禁止从网络启动和自动从网络下载初始配置文件.Router(Config)# no boot networkRouter(Config)# no servic config6, 禁止 IP Source Routing .Router(Config)# no ip source-route7, 建议如果不需要ARP-Proxy效劳那么禁止它,路由器默认 识开启的.Router(Config)# no ip proxy-arpRouter

8、(Config-if)# no ip proxy-arp8, 明确的禁止 IP Directed Broadcast .Router(Config)# no ip directed-broadcast9, 禁止 IP Classless .Router(Config)# no ip classless10, 禁止 ICMP协议的 IP Unreachables,Redirects,Mask Replies.Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no i

9、p mask-reply11, 建议禁止SNM物议效劳.在禁止时必须删除一些SNM 效劳的默认配置.或者需要访问列表来过滤.如：Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RWRouter(Config)# no access-list 70Router(Config)# access-list 70 deny anyRouter(Config)# snmp-server communityMoreHardPublic Ro 70Router(C

10、onfig)# no snmp-server enable trapsRouter(Config)# no snmp-server system-shutdownRouter(Config)# no snmp-server trap-anthRouter(Config)# no snmp-serverRouter(Config)# end12, 如果没必要那么禁止 WIN拚日DNSS务.Router(Config)# no ip domain-lookup如果需要那么需要配置：Router(Config)# hostname RouterRouter(Config)# ip name-serv

11、er 613, 明确禁止不使用的端口.Router(Config)# interface eth0/3Router(Config)# shutdown三,路由器路由协议平安配置(责任编辑1, 首先禁止默认启用的ARP-Proxy,它容易引起路由表的 混乱.Router(Config)# no ip proxy-arp 或者Router(Config-if)# no ip proxy-arp2, 启用OSPFM由协议的认证.默认的OSP弘证密码是明 文传输的,建议启用MD弘证.并设置一定强度密钥(key,相对的路由器必须有相同的 Key).Router(Config)#

12、 router ospf 100Router(Config-router)# network 55 area 100!启用MD弘证.! area area-id authentication启用认证,是明文密码认证.!area area-id authentication message-digestRouter(Config-router)# area 100 authentication message-digestRouter(Config)# exitRouter(Config)# interface eth0/1!启用 MD商钥 Key 为 r

13、outerospfkey .!ip ospf authentication-key key 启用认证密钥,但会 是明文传输.!ip ospf message-digest-key key-id(1-255) md5 keyRouter(Config-if)# routerospfkeyip ospf message-digest-key 1 md53,RIP协议的认证.议启用RIP-V2.只有RIP-V2支持,RIP-1不支持.建并且采用MD5VI证普通认证同样是明文传输的.Router(Config)# config terminal!启用设置密钥链Router(Config)# key c

14、hain mykeychainnameRouter(Config-keychain)# key 1!设置密钥字申Router(Config-leychain-key)# key-stringMyFirstKeyStringRouter(Config-keyschain)# key 2Router(Config-keychain-key)# key-stringMySecondKeyString !启用 RIP-V2Router(Config)# router ripRouter(Config-router)# version 2Router(Config-router)# network 19

15、Router(Config)# interface eth0/1!采用MD5莫式认证,并选择已配置的密钥链Router(Config-if)# ip rip authentication mode md5Router(Config-if)# ip rip anthentication key-chainmykeychainname4, 启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口.建议对丁不需要路由的端口,启用 passive-interface .但是,在RIP协议是只是禁止转发路由信息,并没有禁止 接收.在OSP初议中是禁止转发

16、和接收路由信息.! Rip中,禁止端口 0/3转发路由信息Router(Config)# router RipRouter(Config-router)# passive-interface eth0/3!OSPF中,禁止端口 0/3接收和转发路由信息Router(Config)# router ospf 100Router(Config-router)# passive-interface eth0/35, 启用访问列表过滤一些垃圾和恶意路由信息,限制网络 的垃圾信息流.Router(Config)# access-list 10 deny 55Route

17、r(Config)# access-list 10 permit any!禁止路由器接收更新网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 in!禁止路由器转发传播网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 out6, 建议启用 IP Unicast Reverse-Path Verification .它能够检查源IP地址的

18、准确性,从而可以预防一定的IP Spooling.但是它只能在启用 CEF(Cisco Express Forwarding) 的路 由器上使用.Router# config t!启用CEFRouter(Config)# ip cef!启用 Unicast Reverse-Path VerificationRouter(Config)# interface eth0/1Router(Config)# ip verify unicast reverse-path四,路由器其他平安配置1, 及时的升级IOS软件,并且要迅速的为IOS安装补丁.2, 要严格认真的为IOS作平安备份.3, 要为路由器的

19、配置文件作平安备份.4, 购置UPS设备,或者至少要有冗余电源.5, 要有完备的路由器的平安访问和维护记录日志.6, 要严格设置登录Banner.必须包含非授权用户禁止登 录的字样.7, IP欺骗得简单防护.如过滤非公有地址访问内部网络.过滤自己内部网络地址；回环地址(/8);RFC191瞅有地址；DHCP自定义地址(/16);科学文档作者测试用地址(/24);不用的组播地址(/4);SUN司的古老的测试地址(/24;/23); 全网络地址(/8).Router

20、(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100