Cisco网络设备安全配置

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Cisco网络设备安全检查和配置列表

前言：本文档简单描述关于Cisco网络设备(路由器和交换机)的常规安全配置，旨在提示用户加强网络设备的安全配置。在开始本文档前，有几点需要说明：如果条件允许的话，所有的设备都应该采用最新的IOS或者COS。如果能够采用静态路由的话，尽量采用静态路由；动态路由方面的安全配置未在本文档之内。

一、路由器检查列表：

□路由器的安全策略是否有备案，核查并且实施

□路由器的IOS版本是否是最新

□路由的配置文件是否有离线备份，并且对备份文件的访问有所限制

□路由器的配置是否有清晰的说明和描述

□路由器的登陆用户和密码是否已经配置

□密码是否加密，并且使用secret密码

□ secret密码是否有足够的长度和复杂度，难以猜测

□通过Console,Aux,vty的访问是否有所限制

□不需要的网络服务和特性是否已关闭

□确实需要的网络服务是否已经正确安全的配置

□未使用的接口和vty是否已经配置shutdown

□有风险的接口服务是否已经禁用

□网络中需要使用的协议和端口是否标识正确

□访问控制列表是否配置正确

□访问列表是否禁用了Internet保留地址和其他不适当的地址

□是否采用静态路由

□路由协议是否配置了正确的算法

□是否启用日志功能，并且日志内容清晰可查

□路由器的时间和日期是否配置正确

□日志内容是否保持统一的时间和格式

□日志核查是否符合安全策略

二、IOS安全配置

1、服务最小化

关闭所有不需要的服务，可以使用show proc命令来查看运行了那些服务。通常来说以下服务不需要启动。

Small services (echo, discard, chargen, etc.)

- no service tcp-small-servers

- no service udp-small-servers

_ BOOTP - no ip bootp server

_ Finger - no service finger

_ HTTP - no ip http server

_ SNMP - no snmp-server

2、登陆控制

Router(config)#line console 0

Router(config-line)#password xxx

Router(config-line)#exec-timeout 5 0

Router(config-line)#login

Router(config)#line aux 0

Router(config-line)#password xxx

Router(config-line)#exec-timeout 0 10

Router(config-line)#login

Router(config)#line vty 0 4

Router(config-line)#password xxx

Router(config-line)#exec-timeout 5 0

Router(config-line)#login

注：如果路由器支持的话，请使用ssh替代telnet；

3、密码设置

Router(config)#service password-encryption

Router(config)#enable secret

4、日志功能

Central(config)# logging on

Central(config)# logging IP(SYSLOG SERVER)

Central(config)# logging buffered

Central(config)# logging console critical

Central(config)# logging trap informational

Central(config)# logging facility local1

Router(config)# service timestamps log datetime localtime show-timezone msec

5、SNMP的设置

Router(config)# no snmp community public ro

Router(config)# no snmp community private rw

Router(config)# no access-list 50

Router(config)# access-list 50 permit 10.1.1.1

Router(config)# snmp community xxx ro 50

Router(config)# snmp community yyy rw 50

注：xxx,yyy是你需要设置的community string，越是复杂越好，并且两都绝对不能一致。10.1.1.1是你的snmp服务器，或者说是网管机器

6、访问控制列表

访问控制列表是IOS中最有力的控制工具，根据网络实际情况进行严格的配置，将使路由器达到很好的安全控制。以下仅列出通用配置，其他配置需根据用户实际网络情况进行细化。

✓如果处于边界，则需要屏蔽以下地址段的IP包0.0.0.0/8, 10.0.0.0/8,

169.254.0.0/16,172.16.0.0/20, 192.168.0.0/16

✓屏蔽来自于127.0.0.0/8的IP包

✓屏蔽所有源目的地址相同的包

✓限制远程登陆源地址

Router(config)# no access-list 92

Router(config)# access-list 92 permit 14.2.10.1

Router(config)# access-list 92 permit 14.2.9.1

Router(config)# line vty 0 4

Router(config-line)# access-class 92 in