Cisco路由器交换机安全配置

一、 网络结构及安全脆弱性

　　为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：

　　1. DDOS攻击

　　2. 非法授权访问攻击。

　　口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

　　3.IP地址欺骗攻击

　　….

　　利用Cisco Router和Switch可以有效防止上述攻击。

　　二、保护路由器

　　2.1 防止来自其它各省、市用户Ddos攻击

　　最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。

　　Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。

　　如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗，结合ping就可以实现DDOS攻击。

　　防范措施：

　　应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击。

以下是引用片段： 　　Router(config-t)#no service finger 　　Router(config-t)#no service pad 　　Router(config-t)#no service udp-small-servers 　　Router(config-t)#no service tcp-small-servers 　　Router(config-t)#no ip http server 　　Router(config-t)#no service ftp 　　Router(config-t)#no ip bootp server

　　以上均已经配置。

　　防止ICMP-flooging攻击。

以下是引用片段： 　　Router(config-t)#int e0 　　Router(config-if)#no ip redirects 　　Router(config-if)#no ip directed-broadcast 　　Router(config-if)#no ip proxy-arp 　　Router(config-t)#int s0 　　Router(config-if)#no ip redirects 　　Router(config-if)#no ip directed-broadcast 　　Router(config-if)#no ip proxy-arp

　　以上均已经配置。

　　除非在特别要求情况下，应关闭源路由:

以下是引用片段： 　　Router(config-t)#no ip source-route

　　以上均已经配置。

　　禁止用CDP发现邻近的cisco设备、型号和软件版本。

以下是引用片段： 　　Router(config-t)#no cdp run 　　Router(config-t)#int s0 　　Router(config-if)#no cdp enable

　　如果使用works2000网管软件，则不需要此项操作，此项未配置。

　　使用CEF转发算法，防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。

以下是引用片段： 　　Router(config-t)#ip cef

本新闻共4页,当前在第1页 1 2 3 4

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有