路由器網(wǎng)絡(luò)服務(wù)安全配置技巧

字號(hào):

1,禁止CDP(Cisco Discovery Protocol)。如:
    Router(Config)#no cdp run
    Router(Config-if)# no cdp enable
    2,禁止其他的TCP、UDP Small服務(wù)。
    Router(Config)# no service tcp-small-servers
    Router(Config)# no service udp-samll-servers
    3,禁止Finger服務(wù)。
    Router(Config)# no ip finger
    Router(Config)# no service finger
    4,建議禁止HTTP服務(wù)。
    Router(Config)# no ip http server
    如果啟用了HTTP服務(wù)則需要對(duì)其進(jìn)行安全配置:設(shè)置用戶(hù)名和密碼;采用訪問(wèn)列表進(jìn)行控制。如:
    Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http server Router(Config)# exit
    5,禁止BOOTp服務(wù)。
    Router(Config)# no ip bootp server
    禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件。
    Router(Config)# no boot network
    Router(Config)# no servic config
    6,禁止IP Source Routing。
    Router(Config)# no ip source-route
    7,建議如果不需要ARP-Proxy服務(wù)則禁止它,路由器默認(rèn)識(shí)開(kāi)啟的。
    Router(Config)# no ip proxy-arp
    Router(Config-if)# no ip proxy-arp
    8,明確的禁止IP Directed Broadcast。
    Router(Config)# no ip directed-broadcast
    9,禁止IP Classless。
    Router(Config)# no ip classless
    10,禁止ICMP協(xié)議的IP Unreachables,Redirects,Mask ReplIEs。
    Router(Config-if)# no ip unreacheables
    Router(Config-if)# no ip redirects
    Router(Config-if)# no ip mask-reply
    11,建議禁止SNMP協(xié)議服務(wù)。在禁止時(shí)必須刪除一些SNMP服務(wù)的默認(rèn)配置?;蛘咝枰L問(wèn)列表來(lái)過(guò)濾。如:
    Router(Config)# no snmp-server community public Ro Router(Config)# no snmp-server community admin RW Router(Config)# no access-list 70 Router(Config)# access-list 70 deny any Router(Config)# snmp-server community MoreHardPublic Ro 70 Router(Config)# no snmp-server enable traps Router(Config)# no snmp-server system-shutdown Router(Config)# no snmp-server trap-anth Router(Config)# no snmp-server Router(Config)# end
    12,如果沒(méi)必要?jiǎng)t禁止WINS和DNS服務(wù)。
    Router(Config)# no ip domain-lookup
    如果需要?jiǎng)t需要配置:
    Router(Config)# hostname Router
    Router(Config)# ip name-server 202.102.134.96
    13,明確禁止不使用的端口。
    Router(Config)# interface eth0/3
    Router(Config)# shutdown