當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

Cisco 路由器交換機(jī)安全配置技術(shù)

http://m.yibo1263.com　2008-8-16 8:19:40 　來(lái)源:互聯(lián)網(wǎng)實(shí)驗(yàn)室　編輯:葉子

一、網(wǎng)絡(luò)結(jié)構(gòu)及安全脆弱性

　　為了使設(shè)備配置簡(jiǎn)單或易于用戶使用，Router或Switch初始狀態(tài)并沒(méi)有配置安全措施，所以網(wǎng)絡(luò)具有許多安全脆弱性，因此網(wǎng)絡(luò)中常面臨如下威脅：

　　1. DDOS攻擊

　　2. 非法授權(quán)訪問(wèn)攻擊。

　　口令過(guò)于簡(jiǎn)單，口令長(zhǎng)期不變，口令明文創(chuàng)送，缺乏強(qiáng)認(rèn)證機(jī)制。

　　3.IP地址欺騙攻擊

　　….

　　利用Cisco Router和Switch可以有效防止上述攻擊。

　　二、保護(hù)路由器

　　2.1 防止來(lái)自其它各省、市用戶Ddos攻擊

　　最大的威脅：Ddos, hacker控制其他主機(jī)，共同向Router訪問(wèn)提供的某種服務(wù)，導(dǎo)致Router利用率升高。

　　Ddos是最容易實(shí)施的攻擊手段，不要求黑客有高深的網(wǎng)絡(luò)知識(shí)就可以做到。

　　如SMURF DDOS 攻擊就是用最簡(jiǎn)單的命令ping做到的。利用IP 地址欺騙，結(jié)合ping就可以實(shí)現(xiàn)DDOS攻擊。

　　防范措施：

　　應(yīng)關(guān)閉某些缺省狀態(tài)下開(kāi)啟的服務(wù)，以節(jié)省內(nèi)存并防止安全破壞行為/攻擊。

以下是引用片段：
　　Router(config-t)#no service finger
　　Router(config-t)#no service pad
　　Router(config-t)#no service udp-small-servers
　　Router(config-t)#no service tcp-small-servers
　　Router(config-t)#no ip http server
　　Router(config-t)#no service ftp
　　Router(config-t)#no ip bootp server

　　以上均已經(jīng)配置。

　　防止ICMP-flooging攻擊。

以下是引用片段：
　　Router(config-t)#int e0
　　Router(config-if)#no ip redirects
　　Router(config-if)#no ip directed-broadcast
　　Router(config-if)#no ip proxy-arp
　　Router(config-t)#int s0
　　Router(config-if)#no ip redirects
　　Router(config-if)#no ip directed-broadcast
　　Router(config-if)#no ip proxy-arp

　　以上均已經(jīng)配置。

　　除非在特別要求情況下，應(yīng)關(guān)閉源路由:

以下是引用片段：
　　Router(config-t)#no ip source-route

　　以上均已經(jīng)配置。

　　禁止用CDP發(fā)現(xiàn)鄰近的cisco設(shè)備、型號(hào)和軟件版本。

以下是引用片段：
　　Router(config-t)#no cdp run
　　Router(config-t)#int s0
　　Router(config-if)#no cdp enable

　　如果使用works2000網(wǎng)管軟件，則不需要此項(xiàng)操作，此項(xiàng)未配置。

　　使用CEF轉(zhuǎn)發(fā)算法，防止小包利用fast cache轉(zhuǎn)發(fā)算法帶來(lái)的Router內(nèi)存耗盡、CPU利用率升高。

以下是引用片段：
　　Router(config-t)#ip cef

本新聞共4頁(yè),當(dāng)前在第1頁(yè) 1 2 3 4

【收藏】【打印】【進(jìn)入論壇】