Cisco路由器交换机路由器交换机基准安全配置标准
TMT中国业务中心信息管理部2006年12月5日
f目的
通过建立系统的安全基线标准规范TMT中国业务中心网络环境Cisco路由器和交换机的安全配置并提供相应的指导降低系统存在的安全风险确保Cisco路由器和交换机安全可靠的运行
范围
适合TMT中国业务中心网络环境的所有Cisco路由器和交换机
标准维护与解释
1本标准由TMT中国业务中心每年审视1次根据审视结果修订标准并颁布执行2本标准的解释权归TMT中国业务中心3本标准自签发之日起生效
《路由器交换机基准安全配置标准》
第2页共6页
f目录
123456设置强壮的管理口令4控制VTY4确保SNMP协议的安全5禁用WEB管理功能5禁用不必要的服务5及时的升级和修补IOS软件6
《路由器交换机基准安全配置标准》
第3页共6页
f1设置强壮的管理口令
口令是路由器是用来防止对于路由器的非授权访问的主要手段是路由器本身安全的一部分必须修改默认的口令并避免使用普通的口令并且使用大小写字母数字特别符号混合的方式作为更强大的口令规则保护路由器的密码并配置如下禁用e
ablepassword命令改密码加密机制已经很古老存在极大安全漏洞必须禁用做法是
oe
ablepassword利用e
ablesecret命令设置密码并选择一个长的口令字至少8位该加密机制是IOS采用了MD5散列算法进行加密具体语法是e
ablesecretlevellevelpassworde
cryptio
typee
cryptedpassword使用servicepassworde
cryptio
这条命令用于对存储在配置文件中的所有口令和类似数据如CHAP进行加密避免当配置文件被不怀好意者看见从而获得这些数据的明文
2控制VTY
为了保证安全任何VTY应该仅允许指定的协议建立连结利用tra
sporti
put命令如一个VTY只支持Tel
et服务可以如下设置tra
sporti
puttel
et配置VTY的Tel
et访问控制安全利用ipaccessclass限制访问VTY的ip地址范围利用exectimeout命r