當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

Cisco 路由器交換機安全配置技術(shù)

http://m.yibo1263.com　2008-8-16 8:19:40 　來源:互聯(lián)網(wǎng)實驗室　編輯:葉子

一、網(wǎng)絡(luò)結(jié)構(gòu)及安全脆弱性

　　為了使設(shè)備配置簡單或易于用戶使用，Router或Switch初始狀態(tài)并沒有配置安全措施，所以網(wǎng)絡(luò)具有許多安全脆弱性，因此網(wǎng)絡(luò)中常面臨如下威脅：

　　1. DDOS攻擊

　　2. 非法授權(quán)訪問攻擊。

　　口令過于簡單，口令長期不變，口令明文創(chuàng)送，缺乏強認證機制。

　　3.IP地址欺騙攻擊

　　….

　　利用Cisco Router和Switch可以有效防止上述攻擊。

　　二、保護路由器

　　2.1 防止來自其它各省、市用戶Ddos攻擊

　　最大的威脅：Ddos, hacker控制其他主機，共同向Router訪問提供的某種服務(wù)，導(dǎo)致Router利用率升高。

　　Ddos是最容易實施的攻擊手段，不要求黑客有高深的網(wǎng)絡(luò)知識就可以做到。

　　如SMURF DDOS 攻擊就是用最簡單的命令ping做到的。利用IP 地址欺騙，結(jié)合ping就可以實現(xiàn)DDOS攻擊。

　　防范措施：

　　應(yīng)關(guān)閉某些缺省狀態(tài)下開啟的服務(wù)，以節(jié)省內(nèi)存并防止安全破壞行為/攻擊。

以下是引用片段：
　　Router(config-t)#no service finger
　　Router(config-t)#no service pad
　　Router(config-t)#no service udp-small-servers
　　Router(config-t)#no service tcp-small-servers
　　Router(config-t)#no ip http server
　　Router(config-t)#no service ftp
　　Router(config-t)#no ip bootp server

　　以上均已經(jīng)配置。

　　防止ICMP-flooging攻擊。

以下是引用片段：
　　Router(config-t)#int e0
　　Router(config-if)#no ip redirects
　　Router(config-if)#no ip directed-broadcast
　　Router(config-if)#no ip proxy-arp
　　Router(config-t)#int s0
　　Router(config-if)#no ip redirects
　　Router(config-if)#no ip directed-broadcast
　　Router(config-if)#no ip proxy-arp

　　以上均已經(jīng)配置。

　　除非在特別要求情況下，應(yīng)關(guān)閉源路由:

以下是引用片段：
　　Router(config-t)#no ip source-route

　　以上均已經(jīng)配置。

　　禁止用CDP發(fā)現(xiàn)鄰近的cisco設(shè)備、型號和軟件版本。

以下是引用片段：
　　Router(config-t)#no cdp run
　　Router(config-t)#int s0
　　Router(config-if)#no cdp enable

　　如果使用works2000網(wǎng)管軟件，則不需要此項操作，此項未配置。

　　使用CEF轉(zhuǎn)發(fā)算法，防止小包利用fast cache轉(zhuǎn)發(fā)算法帶來的Router內(nèi)存耗盡、CPU利用率升高。

以下是引用片段：
　　Router(config-t)#ip cef

本新聞共4頁,當(dāng)前在第1頁 1 2 3 4

【收藏】【打印】【進入論壇】