|
很多網(wǎng)絡管理員在剛開始使用思科路由器時都會忽略安全(服務器租用找:51033397)設置�,本文介紹的內容非常適合此類應用者在使用思科路由器時對網(wǎng)絡安全(服務器租用找:51033397)進行配置�����。
一.路由器“訪問控制”的安全(服務器租用找:51033397)配置
1.嚴格控制可以訪問路由器的管理員����。任何一次維護都需要記錄備案。
2.建議不要遠程訪問路由器�����。即使需要遠程訪問路由器���,建議使用訪問控制列表和高強度的密碼控制����。
3.嚴格控制CON端口的訪問����。具體的措施有:
A.如果可以開機箱的,則可以切斷與CON口互聯(lián)的物理線路�。
B.可以改變默認的連接屬性,例如修改波特率(默認是96000�,可以改為其他的)。
C.配合使用訪問控制列表控制對CON口的訪問�����。
如:Router(Config)#Access-list 1 permit 192.168.0.1
- Router(Config)#line con 0
- Router(Config-line)#Transport input none
- Router(Config-line)#Login local
- Router(Config-line)#Exec-timeoute 5 0
- Router(Config-line)#access-class 1 in
- Router(Config-line)#end
D.給CON口設置高強度的密碼。
4.如果不使用AUX端口����,則禁止這個端口����。默認是未被啟用。禁止如:
- Router(Config)#line aux 0
- Router(Config-line)#transport input none
- Router(Config-line)#no exec
5.建議采用權限分級策略�����。如:
- Router(Config)#username BluShin privilege 10 G00dPa55w0rd
- Router(Config)#privilege EXEC level 10 telnet
- Router(Config)#privilege EXEC level 10 show ip access-list
6.為特權模式的進入設置強壯的密碼����。不要采用enable password設置密碼。而要采用enable secret命令設置�����。并且要啟用Service password-encryption����。
7.控制對VTY的訪問�����。如果不需要遠程訪問則禁止它���。如果需要則一定要設置強壯的密碼。由于VTY在網(wǎng)絡的傳輸過程中為加密����,所以需要對其進行嚴格的控制。如:設置強壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴格控制訪問的地址;可以采用AAA設置用戶的訪問控制等�。
8.IOS的升級和備份,以及配置文件的備份建議使用FTP代替TFTP����。如:
- Router(Config)#ip ftp username BluShin
- Router(Config)#ip ftp password 4tppa55w0rd
- Router#copy startup-config ftp:
9.及時的升級和修補IOS軟件。
本文出自:億恩科技【1tcdy.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商���!15年品質保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
