Cisco路由器交换机安全配置

Cisco路由器交换机安全配置

1. DDOS攻击

2. 非法授权访咨询攻击。

口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

….

利用Cisco Router和Switch能够有效防止上述攻击。

二、爱护路由器

2.1 防止来自其它各省、市用户Ddos攻击

最大的威逼：Ddos, hacker操纵其他主机，共同向Router访咨询提供的某种服务，导致Router利用率升高。

如SMURF DDOS 攻击确实是用最简单的命令ping做到的。利用IP 地址欺诈，结合ping就能够实现DDOS攻击。

防范措施：

应关闭某些缺省状态下开启的服务，以节约内存并防止安全破坏行为/攻击

以上均差不多配置。

防止ICMP-flooging攻击

以上均差不多配置。

除非在专门要求情形下，应关闭源路由:

Router(config-t)#no ip source-route

以上均差不多配置。

禁止用CDP发觉邻近的cisco设备、型号和软件版本

如果使用works2000网管软件，则不需要此项操作

此项未配置。

使用CEF转发算法，防止小包利用fast cache转发算法带来的Router 内存耗尽、CPU利用率升高。

Router(config-t)#ip cef

2.2 防止非法授权访咨询

通过单向算法对“enable secret”密码进行加密

应该操纵到VTY的接入，不应使之处于打开状态;Console应仅作为最后的治理手段:

2.3

三、爱护网络

3.1防止IP地址欺诈

黑客经常冒充地税局内部网IP地址，获得一定的访咨询权限。

在省地税局和各地市的W AN Router上配置：

防止IP地址欺诈--使用基于unicast RPF(逆向路径转发)

包发送到某个接口，检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发，若是，转发，否则，丢弃。

注意：通过log日志能够看到内部网络中哪些用户试图进行IP地址欺诈。

此项已配置。

防止IP地址欺诈配置访咨询列表

防止外部进行对内部进行IP地址

防止内部对外部进行IP地址欺诈

四、爱护服务器

关于地税局内部的某些Server,如果它不向各地提供服务能够在总局核心Cisco Router上配置空路由。

ip route 130.1.1.1 255.255.255.255.0 null

在W AN Router上配置CBAC,cisco状态防火墙，防止Sync Flood攻击

在W AN Router 上配置IDS入侵检测系统

五、网络运行监视

配置syslog server,将日志信息发送到syslog server上

Syslog Server纪录Router的平常运行产生的一些事件，如广域口的up, down

, OSPF Neighbour的建立或断开等，它对统计Router的运行状态、流量的一些状态，电信链路的稳固有专门重要的意义，用以指导对网络的改进。

（责任编辑：zhaohb）