Cisco路由器交换机安全配置

一、网络结构及安全脆弱性

为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：

1. DDOS攻击

2. 非法授权访问攻击。

口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

3．IP地址欺骗攻击

….

利用Cisco Router和Switch可以有效防止上述攻击。

二、保护路由器

2.1 防止来自其它各省、市用户Ddos攻击

最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router 利用率升高。

Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。

如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗，结合ping就可以实现DDOS攻击。

防X措施：

应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击

以上均已经配置。

防止ICMP-flooging攻击

以上均已经配置。

除非在特别要求情况下，应关闭源路由:

Router(config-t)#no ip source-route

以上均已经配置。

禁止用CDP发现邻近的cisco设备、型号和软件版本

如果使用works2000网管软件，则不需要此项操作

此项未配置。

使用CEF转发算法，防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。

Router(config-t)#ip cef

2.2 防止非法授权访问

通过单向算法对“enable secret”密码进行加密

应该控制到VTY的接入，不应使之处于打开状态;Console应仅作为最后的管理手段: 如只允许130.9.1.130 Host 能够用Telnet访问.

2.3 使用基于用户名和口令的强认证方法

三、保护网络

3.1防止IP地址欺骗

黑客经常冒充地税局内部网IP地址，获得一定的访问权限。

在省地税局和各地市的WAN Router上配置：

防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)

包发送到某个接口，检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发，若是，转发，否则，丢弃。

注意：通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。

此项已配置。

防止IP地址欺骗配置访问列表

防止外部进行对内部进行IP地址

防止内部对外部进行IP地址欺骗

四、保护服务器

对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。

ip route 130.1.1.1 255.255.255.255.0 null

在WAN Router上配置CBAC,cisco状态防火墙，防止Sync Flood攻击

在WAN Router 上配置IDS入侵检测系统

五、网络运行监视

配置syslog server,将日志信息发送到syslog server上

Syslog Server纪录Router的平时运行产生的一些事件，如广域口的up, down

, OSPF Neighbour的建立或断开等，它对统计Router的运行状态、流量的一些状态，电信链路的稳定有非常重要的意义，用以指导对网络的改进。

（责任编辑：zhaohb）

更多请看Cisco与华为技术网（Vlan9.）