Cisco路由器交换机安全配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Cisco路由器交换机安全配置
1. DDOS攻击
2. 非法授权访咨询攻击。
口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。
….
利用Cisco Router和Switch能够有效防止上述攻击。
二、爱护路由器
2.1 防止来自其它各省、市用户Ddos攻击
最大的威逼:Ddos, hacker操纵其他主机,共同向Router访咨询提供的某种服务,导致Router利用率升高。
如SMURF DDOS 攻击确实是用最简单的命令ping做到的。利用IP 地址欺诈,结合ping就能够实现DDOS攻击。
防范措施:
应关闭某些缺省状态下开启的服务,以节约内存并防止安全破坏行为/攻击
以上均差不多配置。
防止ICMP-flooging攻击
以上均差不多配置。
除非在专门要求情形下,应关闭源路由:
Router(config-t)#no ip source-route
以上均差不多配置。
禁止用CDP发觉邻近的cisco设备、型号和软件版本
如果使用works2000网管软件,则不需要此项操作
此项未配置。
使用CEF转发算法,防止小包利用fast cache转发算法带来的Router 内存耗尽、CPU利用率升高。
Router(config-t)#ip cef
2.2 防止非法授权访咨询
通过单向算法对“enable secret”密码进行加密
应该操纵到VTY的接入,不应使之处于打开状态;Console应仅作为最后的治理手段:
2.3
三、爱护网络
3.1防止IP地址欺诈
黑客经常冒充地税局内部网IP地址,获得一定的访咨询权限。
在省地税局和各地市的W AN Router上配置:
防止IP地址欺诈--使用基于unicast RPF(逆向路径转发)
包发送到某个接口,检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发,若是,转发,否则,丢弃。
注意:通过log日志能够看到内部网络中哪些用户试图进行IP地址欺诈。
此项已配置。
防止IP地址欺诈配置访咨询列表
防止外部进行对内部进行IP地址
防止内部对外部进行IP地址欺诈
四、爱护服务器
关于地税局内部的某些Server,如果它不向各地提供服务能够在总局核心Cisco Router上配置空路由。
ip route 130.1.1.1 255.255.255.255.0 null
在W AN Router上配置CBAC,cisco状态防火墙,防止Sync Flood攻击
在W AN Router 上配置IDS入侵检测系统
五、网络运行监视
配置syslog server,将日志信息发送到syslog server上
Syslog Server纪录Router的平常运行产生的一些事件,如广域口的up, down
, OSPF Neighbour的建立或断开等,它对统计Router的运行状态、流量的一些状态,电信链路的稳固有专门重要的意义,用以指导对网络的改进。
(责任编辑:zhaohb)