思科路由设备安全配置建议(手册)
日期:2007年10月9日 作者: 查看:[大字体 中字体 小字体]-
参考配置如下:
username cisco password(or secret) cisco
Access-list 3 permit 1.1.1.1 0.0.0.255 /* 允许登录的地址段
line vty 0 4
exec-timeout 15 0 /* 该连接超过15分钟的空闲后,自动断线
access-class 3 in
transport input telnet
transport outout none
login local
说明:
1.建议不在VTY端口下设置密码,而采用本地认证的方式(参见上节username / password的说明)。同时,通过ACL对远程登录进行限制,以减少安全风险。
2.可以采用SSH登录方式,其安全性要高于telnet方式,但由于需要IOS支持,可以考虑在以后再实施。
3.可以采用AAA认证的方式,但同样需要外部设备的支持,可以考虑在以后再实施。
4.TCP keepalives可以保证吊死的telnet连接不会消耗掉可用的VTY 端口。
5.在IP版的IOS中,只支持5个VTY线程,但在其他版本,例如企业版,可以支持64—1024个VTY线程。因此,在这些版本下,要注意是否还打开了line vty 0 4以外的其他vty线程,如果打开了,要注意对这些进行同样的设置。
4.3 SNMP配置及安全
原则:
l禁止使用public, private等作为community
l如无必要,不要设置具体RW权限的community
l采用ACL对SNMP的连接进行限制
说明:
1.部分设备为了省事,采用了缺省的public, private等作为网管字符串,这样很不安全,建议进行更换;
2.大多数情况下,骨干网及城域网核心层设备都不必要通过SNMP方式进行设置,因此,没有必要设置具有RW权限的网管字符串;
3.采用ACL对SNMP网管机进行限制,只有受信任的主机才能进行SNMP的操作;
4.如果采用ACL限制,需要注意针对总公司网管设备进行开放。
配置建议如下:
access-list 50 permit 1.1.1.1
access-list 50 permit 1.1.1.1 0.0.0.31
/* 以上两段地址是x为维护及网管机调试方便,建议开启
access-list 50 permit 1.1.1.1
access-list 50 permit 1.1.1.1
/*以上两段地址是总公司网管用机IP,注意要对此开放
access-list 50 permit x.x.x.x
/*分公司在此加入自己的网管用机地址,或者另外再建一个本分公司使用的community / ACL配对
snmp-server community guangxidcb RO 50
4.4 log设置
建议所有路由设备上,关于LOG的设置按如下方式进行:
logging buffered 256000 debugging
logging source-interface Loopback0
no logging 1.1.1.1
no logging 1.1.1.1 /*以上两个SYSLOG SERVER已经不存在
logging 1.1.1.1 /*的SYSLOG 服务器,只在骨干设备上配置
说明
.设置256K的logging缓冲区,这样可以记录更多的信息,以减少出现LOG信息太多而将有用信息冲掉的问题。 - 上一页 [1] [2] [3] [4] [5] [6] 下一页
-
- 思科路由设备安全配置建议(手册) 相关文章:
- ·马克思佩恩2-剧情攻略
- ·大学生思想状况调查报告(下)
- ·思科Cisco交换机VLAN的配置技巧
- ·思科交换机常用命令
- ·教你如何调试思科路由器
- ·党校培训思想汇报
- ·中秋寄相思 自制Flash贺卡
- ·思科路由设备安全配置建议(手册)
- ·思科路由器接口(图)
- ·对照检查、自我剖析材料的入党思想汇报范文
- 思科路由设备安全配置建议(手册) 相关软件
- ·《成吉思汗Ⅳ》威力加强中文硬盘版
- ·《马克思佩恩2》无敌存档
- ·《马克思佩恩2》无限生命无限弹药修改器
- ·拓思商品进销存管理系统 V3.3.50
- ·《英雄本色2》马克思·佩恩的堕落简体中文版
- ·新思创OA协同网络办公自动化系统 V2006.1
- ·思无邪汇宝-明清艳情小说丛刊
- ·《马克思佩恩2》V1.01五项属性修改器
- ·拓思建筑工程资料管理系统V2.6.6
- ·霍思燕浴室写真美图欣赏
- 特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作
- 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转
- 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源:http://www.hackhome.com
上一篇:无法登录无线路由器配置界面解决
下一篇:思科路由器系列软件安装与升级步骤
精品推荐
热点TOP10
- ·路由器安全设置详解
- ·ADSL猫 路由设置方法
- ·ZXDSL 531B 无线ADSL路由器
- ·宽带共享该怎样设置无线路由器
- ·静态路由的设置及相关命令
- ·上海贝尔阿尔卡特Home Plus Plus 500 ADSL路由器
- ·20款最流行猫ADSL MODEM路由设置方法
- ·路由原理介绍
- ·教你如何调试CISCO路由器(上)
- ·IP 路由命令
- ·路由器调试大全
- ·Quidway 路由器系统基本命令
- ·教你如何配置CISCO路由器(中)
- ·Cisco路由器配置教程
- ·教你如何在虚拟机安装IPCOP软路由
- ·实达ADSL modem路由设置方法
- ·经典:图解交换机与路由器组网
- ·华为路由器配置详解
- ·思科路由设备安全配置建议(手册)
- ·路由器限制与禁止BT下载的设置
特别推荐
- ·路由器导致无法上网解决方案
- ·用路由器防范小区宽带网恶意攻击
- ·校园网静态与动态内部路由组建
- ·不用正常命令退出路由器的故障
- ·正确配置路由 合理使用路由器资源
- ·思科路由设备安全配置建议(手册)
- ·静态路由的设置及相关命令
- ·Quidway? S6500系列高端路由交换机
- ·要如何远程管理路由器
- ·Quidway 路由器系统基本命令
- ·Cisco路由器安装向导
- ·NETGEAR美国网件 54M无线设备评测(1)
- ·路由器安全设置详解
- ·全球路由表应用举例
- ·cisco路由器安全防护
- ·教你如何配置CISCO路由器(中)
- ·思科电信级路由系统多种服务。一个网络。无限的可能性。
- ·ADSL猫 路由设置方法
- ·ZXDSL 531B 无线ADSL路由器
- ·路由器备份配置---Backup