Cisco路由器的安全配置简易方案( 三 ) _云知道

Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 out
6.建议启用IP Unicast Reverse-Path Verification 。它能够检查源IP地址的准确性，从而可以防止一定的IP Spooling 。但是它只能在启用CEF(Cisco EXPress Forwarding)的路由器上使用。
Router# config t
! 启用CEF
Router(Config)# ip cef
！启用Unicast Reverse-Path Verification
Router(Config)# interface eth0/1
Router(Config)# ip verify unicast reverse-path
四.路由器其他安全配置
1.及时的升级IOS软件，并且要迅速的为IOS安装补丁。
2.要严格认真的为IOS作安全备份。
3.要为路由器的配置文件作安全备份。
4.购买UPS设备，或者至少要有冗余电源。
5.要有完备的路由器的安全访问和维护记录日志。
6.要严格设置登录Banner 。必须包含非授权用户禁止登录的字样。
7.IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址；回环地址(127.0.0.0/8)；RFC1918私有地址；DHCP自定义地址(169.254.0.0/16)；科学文档作者测试用地址(192.0.2.0/24)；不用的组播地址(224.0.0.0/4)；SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23)；全网络地址(0.0.0.0/8) 。
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log
8.建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。
如：
Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any
Router(Config)# access-list 101 deny ip any any log
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in
9.TCP SYN的防范。如：
A: 通过访问列表防范。
Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
Router(Config)# access-list 106 deny ip any any log
Router(Config)# interface eth 0/2
Router(Config-if)# description “external Ethernet”
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in
B：通过TCP截获防范。(这会给路由器产生一定负载)
Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any log
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in
10.LAND.C 进攻的防范。
Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log
Router(Config)# access-list permit ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 107 in

11.Smurf进攻的防范。
Router(Config)# access-list 108 deny ip any host 192.168.1.255 log
Router(Config)# access-list 108 deny ip any host 192.168.1.0 log
12.ICMP协议的安全配置。对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Mask request 。也需要禁止TraceRoute命令的探测。对于流出的ICMP流，我们可以答应ECHO、Parameter Problem、Packet too big 。还有TraceRoute命令的使用。

Cisco路由器的安全配置简易方案( 三 )

推荐阅读

干冰灭火器的灭火原理

锻炼身体的句子

故障转移管理器

电脑开机后windows系统桌面没有图标

职务侵占16万判多少年

街道办+社区+村委桂林市秀峰区社区电话

盐豆子怎么做

米线是什么

黄瓜芹菜能一起凉拌吗

李子柒螺蛳粉怎么煮李子柒螺蛳粉的煮法

分居多长时间可以自动解除婚姻夫妻分居多长感情就没了

10000w一小时多少度电

健康码颜色代表什么，健康码的颜色都代表什么？

我来教你Applewatchseries7不提示消息怎么解决。

苦螺煮多久，花螺苦螺白灼要煮几分钟？

毕业证丢失我想考二建怎么办