当前位置：清风网络学院 → 网络技术 → 路由技术 → 基本的CISCO路由器安全配置


	精品推荐


特别推荐

·Cisco 路由器安全配置必用10条命令


热点TOP10

基本的CISCO路由器安全配置

日期：2008年5月9日作者：查看:[大字体中字体小字体]

　　
　　access-list 90 permit 172.30.1.45
　　access-list 90 permit 10.1.1.53
　　
　　该访问列表仅允许以上两个IP地址之一的主机对路由器进行telnet访问,注意:创建该列表后必须指定到路由器端口某个端口上,具体指定方法如下:
　　
　　line vty E0 4
　　access-class 90 in
　　
　　以上配置是入站到E0端口的telnet示例,出站配置采用out,在这里将不再详细赘述.为了保护路由器的安全设置,也可以限制其telnet访问的权限,比如:通过分配管理密码来限制一个管理员只能有使用show命令的配置如下:
　　
　　enable secret level 6 123456
　　privilege exec 6 show
　　
　　给其分配密码为123456,telnet进入路由器后,只能用show命令,其他任何设置权限全部被限制.另外,也可以通过访问时间来限制所有端口的登陆访问情况,在超时的情况下,将自动断开,下面是一个配置所有端口访问活动3分30秒的设置示例:
　　
　　exec-timeout 3 30
　　
　　4.禁止CDP
　　
　　CDP(Cisco Discovery Protocol)CISCO查找协议,该协议存在CISCO11.0以后的IOS版本中,都是默认启动的,他有一个缺陷就是:对所有发出的设备请求都做出应答.这样将威胁到路由器的泄密情况,因此,必须禁止其运行,方法如下:
　　
　　no cdp run
　　管理员也可以指定禁止某端口的CDP,比如:为了让路由器内部网络使用CDP,而禁止路由器对外网的CDP应答,可以输入以下接口命令:
　　
　　no cdp enable
　　
　　5.HTTP服务的配置
　　
　　现在许多CISCO设备,都允许使用WEB界面来进行控制配置了,这样可以为初学者提供方便的管理,但是,在这方便的背后,却隐藏了很大的危机,为了能够配置好HTTP服务,本文也提一下如何配置吧.
　　
　　使用ip http server命令可以打开HTTP服务,使用no ip http server命令可以关闭HTTP服务.为了安全考虑,如果需要使用HTTP服务来管理路由器的话,最好是配合访问控制列表和AAA认证来做,也可以使用enable password命令来控制登陆路由器的密码.具体的配置是在全局模式下来完成的,下面是我们创建一个简单的标准访问控制列表配合使用HTTP服务的示例:
　　ip http server */打开HTTP服务
　　ip http port 10248 */定义10248端口为HTTP服务访问端口
　　access-list 80 permit host 10.0.0.1 */创建标准访问列表80,只允许10.0.0.1主机通过
　　ip http access-class 80 */定义了列表号为80的标准访问列表为HTTP服务允许访问的
　　ip http authentication aaa tacacs */增加AAA认证服务来验证HTTP控制的主机
　　
　　6.写在最后的话
　　保护路由器并不是这样简单的事情,在很多实际应用中,还需要很多辅助配置.为了保护路由器,各种各样的安全产品都相继出现,比如给路由器添加硬件防火墙,配置AAA服务认证,设置IDS入侵检测等等吧.为了维护路由器的安全稳定工作,我要告诉大家最重要的还是配置最小化IOS,没有服务的设备,肯定没有人能够入侵,最小化的服务就是我们最大化的安全

（出处：清风网络学院）

上一页 [1] [2]

上一篇:cisco路由器上的几种安全防御措施

下一篇:路由器的安全与可靠的问题

·设好eMule电驴两项关键配置提高下载速度

·Excel2000工作薄安全攻略

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot