举例:
Ro(config-if)#enable secret level 9 ~@~!79#^&^089^ */设置一个级别为9级的~@~!79#^&^089^密码
Ro(config-if)#service router-encryption */启动服务密码加密过程
enable secret命令答应治理员通过数字0-15,来指定密码加密级别.其默认级别为15.
3.控制telnet访问控制
为了保护路由器访问控制权限,必须限制登陆访问路由器的主机,针对VTY(telnet)端口访问控制的方法,具体配置要先建立一个访问控制列表,如下示例,建立一个标准的访问控制列表(编号从1--99任意选择):
access-list 90 permit 172.30.1.45
access-list 90 permit 10.1.1.53
该访问列表仅答应以上两个IP地址之一的主机对路由器进行telnet访问,注重:创建该列表后必须指定到路由器端口某个端口上,具体指定方法如下:
line vty E0 4
access-class 90 in
以上配置是入站到E0端口的telnet示例,出站配置采用out,在这里将不再具体赘述.为了保护路由器的安全设置,也可以限制其telnet访问的权限,比如:通过分配治理密码来限制一个治理员只能有使用show命令的配置如下:
enable secret level 6 123456
privilege exec 6 show
给其分配密码为123456,telnet进入路由器后,只能用show命令,其他任何设置权限全部被限制.另外,也可以通过访问时间来限制所有端口的登陆访问情况,在超时的情况下,将自动断开,下面是一个配置所有端口访问活动3分30秒的设置示例:
exec-timeout 3 30
4.禁止CDP
CDP(Cisco Discovery Protocol)CISCO查找协议,该协议存在CISCO11.0以后的IOS版本中,都是默认启动的,他有一个缺陷就是:对所有发出的设备请求都做出应答.这样将威胁到路由器的泄密情况,因此,必须禁止其运行,方法如下:
no cdp run
治理员也可以指定禁止某端口的CDP,比如:为了让路由器内部网络使用CDP,而禁止路由器对外网的CDP应答,可以输入以下接口命令:
no cdp enable
5.HTTP服务的配置
现在许多CISCO设备,都答应使用WEB界面来进行控制配置了,这样可以为初学者提供方便的治理,但是,在这方便的背后,却隐藏了很大的危机,为了能够配置好HTTP服务,本文也提一下如何配置吧.
使用ip http server命令可以打开HTTP服务,使用no ip http server命令可以关闭HTTP服务.为了安全考虑,假如需要使用HTTP服务来治理路由器的话,最好是配合访问控制列表和AAA认证来做,也可以使用enable password命令来控制登陆路由器的密码.具体的配置是在全局模式下来完成的,下面是我们创建一个简单的标准访问控制列表配合使用HTTP服务的示例:
ip http server */打开HTTP服务
ip http port 10248 */定义10248端口为HTTP服务访问端口
access-list 80 permit host 10.0.0.1 */创建标准访问列表80,只答应10.0.0.1主机通过
ip http access-class 80 */定义了列表号为80的标准访问列表为HTTP服务答应访问的
ip http authentication aaa tacacs */增加AAA认证服务来验证HTTP控制的主机
6.写在最后的话
保护路由器并不是这样简单的事情,在很多实际应用中,还需要很多辅助配置.为了保护路由器,各种各样的安全产品都相继出现,比如给路由器添加硬件防火墙,配置AAA服务认证,设置IDS入侵检测等等吧.为了维护路由器的安全稳定工作,我要告诉大家最重要的还是配置最小化IOS,没有服务的设备,肯定没有人能够入侵,最小化的服务就是我们最大化的安全
推荐阅读
- 蝎子是怎么进入室内的
- 华为手机的放大器在哪个设置里
- 悦动圈添加健身计划的图文讲解
- 我的lol驾照怎么弄的?我的lol驾照生成方法
- 洋葱病害的防治
- 中华民族的立身之本
- 萤火虫给科学家怎样的启示 萤火虫给了科学家什么提示
- 路由器的安全与可靠的问题
- 社保卡的银行卡号可以更换吗
- 吴国在现在的什么地方