思科路由设备安全配置建议(手册）

• 1  内置服务设置
  IOS中的许多服务对于ISP来说，都不是必须具备的东西。出于安全的考虑，应该将这类服务关闭，只在有需要时才开放。参见下面配置：
  no service finger
  no service pad
  no service udp-small-server
  no service tcp-small-server
  no ip bootp server
  no ip http server （或者使用 ip http server；ip http port xxx修改WEB访问端口）
  另外，某些服务对ISP的网络有很大的帮助，应该要打开：
  service nagle
  service tcp-keepalives-in
  service timestamps debug datetime msec localtime show-timezone
  service timestamps log datetime msec localtime show-timezone
  ------------------------------------------------------------------------------------------------------------
  注1：部分服务在最新的IOS中已经关闭，敲入上述命令后，如果看不到的话，就表示默认是关闭的。
  注2：Nagle服务有助于提高telnet到某一设备，或者从某一设备上telnet到其他设备时的性能。标准TCP协议中，对telnet的处理，是将所键入的字符逐字发送，这在网络拥塞时，会加剧网络的负担。而Nagle算法则对此进行了改进，一旦建立连接后，键入的第一个字符仍按一个封包发出，但其后的字符会先送到缓冲中，直到前一个连接的acknowledge包返回后，再发出。这样可以大大提高网络效率。
  注3：时间戳在缺省配置中，是采用设备的up时间来记录的。因此在show log时，有可能会看到类似于 26W3day：……的东西，这样不利于判断告警发生的时间。建议按上文配置，修改为按系统本地时间来记录，以便快速知晓LOG中的告警产生的具体时间。
  -------------------------------------------------------------------------------------------------------------
  　　2  端口安全配置
  IOS中的一些功能在校园网或者企业应用中有实际的作用，但对于ISP的骨干网来说，却没有多大意义。这些功能的滥用，有可能会增加ISP的安全风险。
  
  ISP骨干网设备的端口配置中，建议进行如下配置：
  Interface e0/0
  Description Cisco Router Standard Configuration Guide
  no ip redirects
  no ip proxy-arp
  no ip mroute-cache
  --------------------------------------------------------------------------------------------------------------------------
  注1：当某一接口下有多台同一地址段的路由器存在时，建议不要禁用ip redirects；
  --------------------------------------------------------------------------------------------------------------------------
  
  3  静态路由
  静态路由在城域网的设备中，应用还是比较广泛。但静态路由的使用，有时候也会造成路由方面的困惑，影响网络的连通。例如某条链路断开后，静态路由不随即消失等等。新的IOS中对静态路由进行了调整，可以做到更合理的配置。
  原则：
  l静态路由后不要使用permanent参数
  
• [1] [2] [3] [4] [5] [6] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 思科路由设备安全配置建议(手册） 相关文章：
• ·马克思佩恩2-剧情攻略
• ·大学生思想状况调查报告(下）
• ·思科Cisco交换机VLAN的配置技巧
• ·思科交换机常用命令
• ·教你如何调试思科路由器
• ·党校培训思想汇报
• ·中秋寄相思 自制Flash贺卡
• ·思科路由设备安全配置建议(手册）
• ·思科路由器接口（图）
• ·对照检查、自我剖析材料的入党思想汇报范文
• 思科路由设备安全配置建议(手册） 相关软件
• ·《成吉思汗Ⅳ》威力加强中文硬盘版
• ·《马克思佩恩2》无敌存档
• ·《马克思佩恩2》无限生命无限弹药修改器
• ·拓思商品进销存管理系统 V3.3.50
• ·《英雄本色2》马克思·佩恩的堕落简体中文版
• ·新思创OA协同网络办公自动化系统 V2006.1
• ·思无邪汇宝－明清艳情小说丛刊
• ·《马克思佩恩2》V1.01五项属性修改器
• ·拓思建筑工程资料管理系统V2.6.6
• ·霍思燕浴室写真美图欣赏

上一篇:无法登录无线路由器配置界面解决

下一篇:思科路由器系列软件安装与升级步骤

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐