Cisco 路由器及交换机安全加固法则( 二 ) _云知道

no access-list 98 //在配置一个新的acl前先清空该ACL
access-list 98 permit host 192.168.0.1
access-list 98 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息
!
clock timezone PST-8 //设置时区
ntp authenticate //启用NTP认证
ntp authentication-key 1 md5 uadsf //设置NTP认证用的密码，使用MD5加密。
需要和ntp server一致
ntp trusted-key 1//可以信任的Key.
ntp acess-group peer 98 //设置ntp服务，只答应对端为符合access-list 98条件的主机
ntp server 192.168.0.1 key 1 //配置ntp server，server为192.168.0.1，使用1号key做为密码
5、对带内治理行为进行限制：
snmp-server community HSDxdf ro 98//配置snmp只读通讯字，并只答应access-list 98的主机进行通讯
line vty 0 4
access-class 99 in //使用acl 99来控制telnet的源地址
login
password 0 asdfaksdlf//配置telnet密码
exec-timeout 2 0 //配置虚终端超时参数，这里是2分钟
!
6、对带外治理行为进行限制：
line con 0
login
password 0 adsfoii //配置console口的密码
exec-timeout 2 0 //配置console口超时参数，这里是两分钟
!
line aux 0
transport input none
password 0 asfdkalsfj
no exec
exit
7、应用control-plane police，预防DDOS攻击(注：需要12.2(1S或12.3(4)T以上版本才支持)
答应信任主机(包括其它网络设备、治理工作站等)来的流量:
access-list 110 deny ip host 1.1.1.1 any
access-list 110 deny ip 2.2.2.0 255.255.255.0 any
.....
access-list 110 deny ip 3.3.3.3 any
限制所有其它流量
access-list 110 permit ip any any
!
class-map control-plane-limit
match access-group 110
!
policy-map control-plane-policy
class control-plane-limit
police 32000 conform transmit exceed drop
!
control-plane
service-policy input control-plane-policy
三、 Cisco CatOS加固
1、禁用不需要的服务：
set cdp disable //禁用cdp
set ip http disable//禁用http server，这玩意儿的安全漏洞很多的
2、配置时间及日志参数，便于进行安全审计：
set logging timestamp enable //启用log时间戳
set logging server 192.168.0.1 //向192.168.0.1发送log
set logging server 192.168.0.2 //向192.168.0.2发送log!
set timezone PST-8 //设置时区
set ntp authenticate enable //启用NTP认证
set ntp key 1 md5 uadsf //设置NTP认证用的密码，使用MD5加密。需要和ntp server一致
set ntp server 192.168.0.1 key 1　//配置ntp server，server为192.168.0.1，使用1号key做为密码
set ntp client enable //启用ntp client
3、限制带内治理：
set snmp community HSDxdf //配置snmp只读通讯字
set ip permit enable snmp //启用snmp访问控制
set ip permit 192.168.0.1 snmp//答应192.168.0.1进行snmp访问
set ip permit enable telnet //启用telnet访问控制
set ip permit 192.168.0.1 telnet//答应192.168.0.1进行telnet访问
set password //配置telnet密码
set enable//配置特权密码
set logout 2//配置超时参数，2分钟

Cisco 路由器及交换机安全加固法则( 二 )

推荐阅读

《再见吧!少年》什么时候上映？《再见吧!少年》好看吗？

龙头股、次新股遭遇黑天鹅事件如何应对操作特点有以下几点

东山区景点

曲小檀是精神分裂吗?

哪个牌子的骨肉相连好吃?

粉底刷怎么清洗

请问充电宝自己给自己充电会怎样

梦见上身没穿衣服女人梦见自己光着上半身解梦

在快手直播间骂人的处理结果快手主播骂人怎么处理

墙砖开裂是什么原因

突然争着与你接电话的妻子前妻还接电话意味着什么

如何调整PPT文本调整字体粗细

大貔貅手串怎么穿孔

关于镜头的划分

华为折叠屏手机最新款，华为有几款异形屏手机

三打白骨精页游是什么电影,《三打白骨精》玩梗开测