思科路由设备安全配置建议(手册）

• l静态路由后将端口与IP结合使用
  配置建议
  ip route 静态路由网段 该网段掩码 下一跳端口 下一跳IP地址
  例如：
  ip route 192.168.1.0 255.255.255.0 e0/0 10.1.1.2
  
  4  系统登录
  4.1   telnet用户认证
  用户认证分两个层次，普通用户认证以及特权用户认证。前者允许管理员以普通用户身份远程登录设备，进行一系到简单操作。后者允许管理员在登录进设备后，进行完全的管理操作。一般情况下，只要在line vty下设置相应的密码即可实现对普通用户登录的认证。
  
  原则：
  l为每一个用户创建一个用户名，以方便管理，提高安全
  l为临时用户创建临时用户名，使用完毕后，注意回收
  l在可能的情况下，使用username / secret而不是username / passWord
  l在使用username / password的情况下，不要配合priviledge 15来使用
  l采用AAA认证
  
  根据目前的条件，推荐进行如下的配置：
  service password-encryption
  ！
  username cisco password cisco(使用了上一条命令后，系统会自动加密)
  username cisco secret cisco
  （系统会自动使用MD5进行加密，目前的IOS版本来说，仅适用于GSR12000系列路由器，Catalyst 6509 MSFC模块，其它设备的IOS版本不支持）
  ！
  说明：
  1.service password-encryption采用可逆的弱加密机制对password进行加密，目前已有很多工具可以对它进行成功的破解，但总比直接采用明文要好。因此，出于安全的考虑，不建议在username / password组合中，使用privilege 15参数，即以下配置是不建议的：username ppp privilege 15 password cisco
  2.Username 命令中，可以采用username / password, username / secret的组合。其中，username / secret采用MD5加密算法，具有很好的安全性。在IOS 12.0(18)S、12.1(8a)E、12.2(8)T及其以后的S、E、T系列版本中提供了对它的支持。所有的GSR12000路由器，Catalyst 6509 MSFC模块上可以对该命令支持。建议将当前使用的username / password组合，更改为username / secret组合，这样既使得到了配置文件，也不能对该密码进行解密。
  3.在username / secret组合中，由于使用了MD5加密算法，因此，可以放心地使用privilege 15参数，即：username ppp privilege 15 secret cisco
  4.建议为每一个登录用户创建一个单独的username / password记录，配合SYSLOG工具，可以很方便地查找故障之前谁在做最后一次操作。同时，username / password也为密码的猜解增加了一定的难度（虽然还是有可能被破解^_^）。
  5.更加安全的做法，是采用AAA认证，通过RADIUS协议或者TACACS+等方式。AAA服务器可以采用定制的RADIUS或者采用CISCO的ACS等。这将在以后提出建议。
  4.2   VTY设置
  远程登录设备以对设备进行管理，可以极大的方便管理员的工作。缺省情况下， 思科路由器设备上所有的VTY端口都没有进行接入控制，当设置了密码之后，相当于整台设备都暴露在了外界，任何人都有可能进行连接到这台设备。
  原则：
  .设置超时退出，并经常用show user查看是否有telnet用户挂死
  .设置ACL加强设备安全
  .采用本地用户认证方式
  .打开tcp-keepavlives-in选项
  .采用SSH登录方式
  
  
• 上一页 [1] [2] [3] [4] [5] [6] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 思科路由设备安全配置建议(手册） 相关文章：
• ·马克思佩恩2-剧情攻略
• ·大学生思想状况调查报告(下）
• ·思科Cisco交换机VLAN的配置技巧
• ·思科交换机常用命令
• ·教你如何调试思科路由器
• ·党校培训思想汇报
• ·中秋寄相思 自制Flash贺卡
• ·思科路由设备安全配置建议(手册）
• ·思科路由器接口（图）
• ·对照检查、自我剖析材料的入党思想汇报范文
• 思科路由设备安全配置建议(手册） 相关软件
• ·《成吉思汗Ⅳ》威力加强中文硬盘版
• ·《马克思佩恩2》无敌存档
• ·《马克思佩恩2》无限生命无限弹药修改器
• ·拓思商品进销存管理系统 V3.3.50
• ·《英雄本色2》马克思·佩恩的堕落简体中文版
• ·新思创OA协同网络办公自动化系统 V2006.1
• ·思无邪汇宝－明清艳情小说丛刊
• ·《马克思佩恩2》V1.01五项属性修改器
• ·拓思建筑工程资料管理系统V2.6.6
• ·霍思燕浴室写真美图欣赏

上一篇:无法登录无线路由器配置界面解决

下一篇:思科路由器系列软件安装与升级步骤

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐