路由器的安全配置中国科技网.ppt

路由器的安全配置 中国科技网工作交流会 2010年4月16日 何群辉 概述 路由器的安全目标 路由器安全策略的基础 可实施的路由器安全配置 路由器的安全目标 防止对路由器的未经授权的访问 防止对网络的未经授权的访问 防止网络数据窃听 防止欺骗性路由更新 路由器安全策略的基础 找出需要保护的网络资源 确定危险之处 限制访问范围 确定安全措施的代价 物理安全 可实施的路由器安全配置 路由器访问安全 路由器网络服务安全配置 访问控制列表和过滤 路由的安全配置 日志和管理 路由器访问安全 ——物理运行环境的安全性 合适的温度和湿度 不受电磁干扰 使用UPS电源供电等 路由器访问安全 ——交互式访问控制 使用实例： #仅允许159.226.58.0这一个C的地址、159.226.1.0 32个地址通过vty登录路由器 ciscoenable password:输入enable口令 cisco#config t cisco（config）#ip access-list standard 99 #先一个标准控制列表# cisco（config-std-nacl）#permit 159.226.58.0 0.0.0.255 cisco（config-std-nacl）#permit 159.226.1.0 0.0.0.31 cisco（config-std-nacl）#deny any cisco（config-std-nacl）#exit cisco（config）#line vty 0 4 #在虚拟终端应用控制列表# cisco(config-line)#access-class 99 in cisco(config-line)#exec-timeout 5 #超过5分钟后，无任何操作，就取消该连接会话 cisco(config-line)#exit cisco#write #保存配置 路由器访问安全 —本地口令安全配置 使用实例： #设置一个enable口令，同时启用密码加密服务 ciscoenable #没配置特权密码时，输入enable，直接进入特权配置模式# cisco#config t cisco（config）# enable secret 密码 cisco（config）# service password-enacryption  路由器网络服务安全配置 使用实例： #如果发现在路由器上启用了这些小服务，就可以通过这些命令禁止，一般来说现在的路由器设备和三层交换机都默认不启用这些小服务。 ciscoenable password:输入enable口令 cisco#config t cisco（config）#no service tcp-small-servers cisco（config）#no service udp-small-servers 路由器网络服务安全配置 使用实例： #如路由器启用了finger服务，可用下列命令禁用finger服务 ciscoenable password:输入enable口令 cisco#config t cisco（config）#no service finger #禁止CDP(Cisco Discovery Protocol ） cisco（config）#no cdp #全局模式配置禁止cdp 路由器网络服务安全配置 #ntp的认证配置 分中心核心设备配置： cisco（config）#ntp authenticate cisco（config）# ntp authentication-key 10 md5 ntp密码 #定义的认证串并将其赋值 # 所级路由器配置： cisco（config）# ntp authenticate cisco（config）# ntp authentication-key 10 md5 ntp密码 cisco（config）#ntp trusted-key 10 cisco（config）#ntp server 分中心核心设备loopback地址 key 10 访问控制列表和过滤 ——防止