3-1设置健壮的密码.pptxVIP

项目3网络设备的安全管理

目录CONTENTS设置健壮的密码01.远程安全管理03.保护系统文件02.用户身份认证04.

设置健壮的密码01.

不要使用字典单词经常变更密码混合字符最小长度密码配置注意事项

配置安全访问端口密码1．严格控制Console口的访问如果可以开机箱，则可以切断与Console口互联的物理线路。（1）改变默认的连接属性，如修改波特率（默认是9600，可以改为其他）。（2）配合使用访问控制列表控制对Console口的访问，如：R1(Config)#access-list1permit192.168.0.1 //定义访问列表R1(Config)#linecon0 //进入Console线路终端模式R1(Config-line)#transportinputnone //拒绝所有输入R1(Config-line)#loginlocal //使用路由器本地的用户数据库进行远程登录验证R1(Config-line)#exec-timeout50 //线路超时时间为5分钟R1(Config-line)#access-class1in //将上面定义的访问列表应用在Console口上

配置安全访问端口密码2．给Console口设置高强度的密码执行如下命令：R1(config)#linecon0 //进入Console线路终端模式R1(config-line)#passwordUpatm@7! //给Console口设置高强度密码R1(config-line)#login //使用本地密码验证登录方式

配置安全访问端口密码3．禁用不需要的Auxiliary口如果不使用Auxiliary口，则禁止这个端口，默认是未被启用，如：R1(config)#lineaux0 //进入Auxiliary线路终端模式R1(config-line)#transportinputnone //拒绝所有输入R1(config-line)#noexec //关闭连接

设置使能密码由于通过特权模式，用户可以完全地访问路由器，因而应该将特权模式接入保留给受信的网络管理员，如：R1(config)#enablepasswordcisco //密码未加密，执行showrun命令能查看到R1(config)#enablesecretcisco //密码已使用MD5加密，执行showrun命令不能获得密码的真实内容若同时配置了enablepassword和enablesecret密码，生效的是后一种。

加密配置文件中的密码使用servicepassword-encryption将配置文件中当前和将来的所有密码加密为密文，主要用于防止未授权用户查看配置文件中的密码，但很容易通过密码破解程序破解

设置最短密码长度网络管理策略应说明用于访问网络设备的密码的最小长度，最小密码长度的范围是1～16个字符，建议路由器密码的最小长度为10个字符，这将影响userpassword、enablesecretpassword和linepassword等命令。执行如下命令：R1(config)#securitypasswordsmin-length10 //设置密码的最小长度为10位另外，在本地数据库中维护用户和密码列表以执行本地登录验证，执行如下命令：R1(config)#usernamenamesecret0password|5encrypted-secret

修改连接属性控制Console口的访问1．配置网络拓扑图采用如图所示的网络拓扑图，使用串行电缆将路由器与配置终端的串行口连接起来。

修改连接属性控制Console口的访问2．修改Console口的通信连接参数通过修改Console口的连接属性来加强线路端口的安全：（1）设置波特率（speed）为4800。（2）设置数据位（databits）为7位。（3）设置校验方式（parity）为奇校验（even）。（4）设置停止位（stopbits）为2位。（5）设置流控（flowcontrol）方式为软件（software）。即便非授权人员能够物理接触Console线路，但不知道通信参数，也无法登录到路由器上，这样就提高了登录路由器的安全控制能力。具体配置如下：Router(config)#lineconsole0Router(config-line)#speed4800Router(config-line)#databits7Router(config-line)#parityevenRouter(config-line)#stopbits2Router(co