Cisco路由器的安全配置的注意事项

作者:课课家更新于： 2019-02-27 20:12:44

　　我们知道路由器是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由并以最佳路径按前后顺序发送信号，但是如果安全配置不正确的话很容易造成网络传输出错或者遭到攻击，所以学习路由器的安全配置是考取思科认证的一个重要环节。那么我们如何正确的设置路由器的安全配置方案呢？在本文中课课家笔者以Cisco路由器为例给大家介绍具体的配置方法供大家参考参考。

　　◎路由器访问控制安全配置

　　①严控可访问路由器的管理员

　　要想做到百分百安全我们要严格管理可访问路由器的管理员，对于任何一次维护我们都需要做好记录备案。俗活说得好：不怕一万，就怕万一。

　　②禁止远程访问路由器

　　禁止远程访问路由器是把好路由器网络安全的一道重要门槛。即使需要用到远程访问路由器，笔者建议大家使用访问控制列表和高强度的密码控制来进行。

　　③把关好CON端口的访问

　　CON端口是Cisco路由器的一个比较重要的端口，所以把好这个端口的访问是重中之重，具体的防护措施如下：

　　● 如果可以开机箱的我们就切断与CON口互联的物理线路。

　　● 通过改变默认的连接属性。具体我们可以通过修改波特率(默认是96000但可以改为其他的)来进行。

　　● 配合使用访问控制列表控制对CON口的访问，具体配置命令如下：

　　Router(Config)#Access-list 1 permit 192.168.0.1

　　Router(Config)#line con 0

　　Router(Config-line)#Transport input none

　　Router(Config-line)#Login local

　　Router(Config-line)#Exec-timeoute 5 0

　　Router(Config-line)#access-class 1 in

　　Router(Config-line)#end

　　● 给CON口设置高强度的密码。

　　④禁用闲置AUX端口

　　默认情况下AUX端口是未被启用，但如果我们想把它禁止，具体我们可以通过以下配置命令来实现：

　　Router(Config)#line aux 0

　　Router(Config-line)#transport input none

　　Router(Config-line)#no exec

　　⑤采用权限分级策略

　　采用权限分级策略也是一个比较好的的方法，具体的配置命令如下：

　　Router(Config)#user name BluShin privilege 10 G00dPa55w0rd

　　Router(Config)#privilege EXEC level 10 telnet

　　Router(Config)#privilege EXEC level 10 show ip access-list

　　⑥给特权模式的进入设置高强度密码

　　切记不要采用enable password设置密码，而要采用enable secret命令设置且要启用Service password-encryption。

　　⑦控制对VTY的访问

　　要知道VTY在网络的传输过程中为加密，所以我们需要对其进行严格的控制，具体的防护措施我们可以通过以下方式来实现：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；采用AAA设置用户的访问控制等。

　　⑧使用FTP代替TFTP来对iOS的升级和备份以及配置文件的备份

　　使用FTP代替TFTP是比较好的安全防护方式，具体的配置命令如下：

　　Router(Config)#ip ftp user name BluShin

　　Router(Config)#ip ftp password 4tppa55w0rd

　　Router#copy startup-config ftp:

　　⑨及时升级和修补IOS软件

　◎路由器网络服务安全配置

　　①禁止CDP(Cisco Discovery Protocol)

　　Router(Config)#no cdp run

　　Router(Config-if)# no cdp enable

　　②禁止其他的TCP、UDP Small服务

　　Router(Config)# no service tcp-small-servers

　　Router(Config)# no service udp-samll-servers

　　③禁止Finger服务

　　Router(Config)# no ip finger

　　Router(Config)# no service finger

　　④禁止HTTP服务

　　Router(Config)# no ip http server

　　● 另外如果我们启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制，具体配置命令如下：

　　Router(Config)# user name BluShin privilege 10 G00dPa55w0rd

　　Router(Config)# ip http auth local

　　Router(Config)# no access-list 10

　　Router(Config)# access-list 10 permit 192.168.0.1

　　Router(Config)# access-list 10 deny any

　　Router(Config)# ip http access-class 10

　　Router(Config)# ip http server

　　Router(Config)# exit

　　⑤禁止BOOTp服务

　　Router(Config)# no ip bootp server

　　● 另外我们还可以禁止从网络启动和自动从网络下载初始配置文件，具体的配置命令如下：

　　Router(Config)# no boot network

　　Router(Config)# no servic config

　　⑥禁止IP Source Routing

　　Router(Config)# no ip source-route

　　⑦禁止闲置ARP-Proxy服务

　　由于路由器默认识开启的，所以我们可以通过以下配置命令来实现禁用，具体配置命令如下：

　　Router(Config)# no ip proxy-arp

　　Router(Config-if)# no ip proxy-arp

　　⑧禁止IP Directed Broadcast

　　Router(Config)# no ip directed-broadcast

　　⑨禁止IP Classless

　　Router(Config)# no ip classless

　　⑩禁止ICMP协议的IP Unreachables，Redirects，Mask Replies

　　Router(Config-if)# no ip unreacheables

　　Router(Config-if)# no ip redirects

　　Router(Config-if)# no ip mask-reply

　　⑪禁止SNMP协议服务

　　注意在禁止时必须删除一些SNMP服务的默认配置或者需要访问列表来过滤，具体的配置命令如下：

　　Router(Config)# no snmp-server community

　　以上就是Cisco路由器的安全配置的注意事项。

　　本次的Cisco路由器的安全配置的注意事项的讲解到此就暂告一段落，如果以后有什么相关的内容继续进行补充或者修改的话，笔者会在此继续进行相关的内容的补充或者修改的工作，同时也欢迎大家对本次的讲解提出自己的建议和补充。最后笔者希望本次的讲解对大家学习思科认证能够起到一定的帮助作用！