用Cisco产品和功能构建安全的网络

第第页用Cisco产品和功能构建安全的网络用Cisco产品和功能构建安全的网络

发表于：2023-06-23来源：：点击数：标签：

下一页12一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：1.DDOS攻击2.非法授权访问攻击。口令过于简单，口令长期不变，口令明

下一页12一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：

1.DDOS攻击

2.非法授权访问攻击。

口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

3．IP地址欺骗攻击

….

利用CiscoRouter和Switch可以有效防止上述攻击。

二、保护路由器

2.1防止来自其它各省、市用户Ddos攻击

最大的威胁：Ddos,hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。

Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。

如SMURFDDOS攻击就是用最简单的命令ping做到的。利用IP地址欺骗，结合ping就可以实现DDOS攻击。

防范措施：

?应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击

Router(config-t)#noservicefinger

Router(config-t)#noservicepad

Router(config-t)#noserviceudp-small-servers

Router(config-t)#noservicetcp-small-servers

Router(config-t)#noiphttpserver

Router(config-t)#noserviceftp

Router(config-t)#noipbootpserver

以上均已经配置。

?防止ICMP-flooging攻击

Router(config-t)#inte0

Router(config-if)#noipredirects

Router(config-if)#noipdirected-broadcast

Router(config-if)#noipproxy-arp

Router(config-t)#ints0

Router(config-if)#noipredirects

Router(config-if)#noipdirected-broadcast

Router(config-if)#noipproxy-arp

以上均已经配置。

?除非在特别要求情况下，应关闭源路由:

Router(config-t)#noipsource-route

以上均已经配置。

?禁止用CDP发现邻近的cisco设备、型号和软件版本

Router(config-t)#nocdprun

Router(config-t)#ints0

Router(config-if)#nocdpenable

如果使用works2000网管软件，则不需要此项操作

此项未配置。

?使用CEF转发算法，防止小包利用fastcache转发算法带来的Router内存耗尽、CPU利用率升高。

Router(config-t)#ipcef

2.2防止非法授权访问

?通过单向算法对“enablesecret”密码进行加密

Router(config-t)#enablesecretremoved

Router(config-t)#noenablepassword

Router(config-t)#servicepassword-encryption

?vty端口的缺省空闲超时为10分0秒

Router(config-t)#linevty04

Router(config-line)#exec-timeout100

?应该控制到VTY的接入，不应使之处于打开状态;Console应仅作为最后的管理手段:

如只允许30Host能够用T访问.

aclearcase/"target="_blank">ccess-list110permitip3054log

linevty04

access-class101in

exec-timeout50

2.3使用基于用户名和口令的强认证方法

Router(config-t)#usernameadminpass5434535e2

Router(config-t)#aaanew-model

Router(config-t)#radius-serverhostkeykey-string

Router(config-t)#aaaauthenticationloginnetenggroupradiuslocal

R