本文相关内容

·到底怎么用BT啊？？
·到底怎么是网上购物？？
·到底什么是博客呀？
·到底如何让自己的博克升级
·到哪里可以下载到电脑操作入门的资料啊，谢谢，
·到哪里可以下载百事可乐历年的广告歌？
·到哪里去弄U币充值卡？
·到那下载免费的翻译软件啊??(如金山翻译软件等)
·到那里可以找到歌谱,哪个网站是免费的? iAs
·到什么地方找的种子才能下载电影最快? iAs
·导航栏不见了，怎办？
·档案能在网上查询吗?
·当注入碰到SA时的几种上传办法
·当当购物卡是什么？有什么用呢？
·当当网的荣誉顾客卡怎么用？
·地毯行业的英语
·地址栏里中文网址怎么没有啦？
·地址栏里出现的不是英文怎么办
·地址栏清理〉？？？？？
·地址栏输入网址打不开，输入网站的IP就能打开，怎么办？
·地址栏消失了，怎么办？
·地址栏不能显示
·颠峰数码交易中心有谁在这里交易过?
·调整磁盘分区的PM
·调侃：浏览器和人品的关系
·独乐乐不如众乐乐:优秀网管心得三则
·多路复用技术
·堵塞Web漏洞（上）
·堵塞Web漏洞（下）
·堵塞Web漏洞（中）


	★底层安全——路由篇

底层安全——路由篇

添加记录: 网络应用类别: 网络应用发布日期: 2006.09.20

注:本文已发表于2005年黑客x档案第9 期路由器是网络中的神经中枢，在网络中占据着主要的地位，我们的广域网就是靠一个个路由器连接起来组成的。随着企事业单位的网络不断扩大，可靠性、安全性以成为人们的主要须求，曾经神秘的路由器，现在已经飞入寻常百姓家了。随着路由器的增多，路由器的安全性也逐渐成为大家探讨的一个热门话题了，本文主要针对我们公司的Cisco3640要说一下路由配置需要注意的几点，（软件版本不命令也会有些差别）公司基本网络拓扑结构如图1。

screen.width-300)this.width=screen.width-300" border=0>

此文也是本人在工作过程中所整理的，本人技术还不成熟就算是抛砖引玉吧！
首先呢！我们的路由要有一个强壮的密码，（为了方便我把密码简单化了）进入配置模式的密码：
Cisco-3640#configure
terminal
Enter configuration commands, one per line.　End with
CNTL/Z.
Cisco-3640(config)#enable secret
hackerxfiles
Cisco-3640(config)#enable password destiny　
//当secret密码机制失效时启用他
配置它console接口密码为cisco及telnet登录密码为hackbase：
Cisco-3640(config)#line
console 0
Cisco-3640(config-line)#password
cisco
Cisco-3640(config-line)#login
Cisco-3640(config-line)#exit
Cisco-3640(config)#line
vty 0 4
Cisco-3640(config-line)#password
hackbase
Cisco-3640(config-line)#login
指定他的连接超时时间为30秒：
Cisco-3640(config)#line
console 0
Cisco-3640(config-line)#exec-timeout 0
30
虽说密码是设置完了，可是除secret密码其它的密码是明文的，当得到配置文件时那密码将一览无疑了，用“show
running-config”命令可以看到如图2。

screen.width-300)this.width=screen.width-300" border=0>

解决办法：我们可以在配置模式运行“service password-encryption”为其它密码加密。
禁止掉不须要的服务，在这里我只写三种，使用方法和IOS版本有关可以参照随机手册。禁止CDP(Cisco
Discovery Protocol)、禁止HTTP、服务DNS服务。
Cisco-3640 (Config)#no cdp run
Cisco-3640 (Config)# no ip http
Cisco-3640 (Config)# no ip
domain-lookup server
由于我们网络只有两个管理员，他们的IP分别是172.16.1.254、10.1.2.254，
现在我们用访问列表只让这两个IP，telnet上我们的设备：
Cisco-3640(config)#access-list
1 permit 10.1.2.254
Cisco-3640(config)#access-list 1 permit
172.16.1.254
Cisco-3640(config)#line vty 0
4
Cisco-3640(config-line)#access-class 1
in
当然，我们也可以禁止任何人telnet登录我们的设备，如果您工作在一楼而机房又在N楼，此方法就不太可用了。
我们不禁止非授权用户从内网访问服务器群：
Cisco-3640(config)#access-list 2
permit 10.1.2.254
Cisco-3640(config)#access-list 2 permit
10.1.2.253
Cisco-3640(config)#access-list 2 permit 10.1.2.252　
//以上三个IP是授权用户
Cisco-3640(config)#interface FastEthernet
0/0
Cisco-3640(config-if)#ip access-group 2 in
避免非管理员拿设备连接到网管所在接网络口上对路由配置：我们也可以在接入这二个地址的交换机上设置一个接口对应一个MAC地址，违反规则关掉此接口：
Center-Switch01(config-if)#port
security max-mac-count 1
Center-Switch01(config-if)#port security action
shutdown
当然，我们还可以在每个接口上配置每个接口绑定一个MAC地址、使用户不能改变IP地址、用VLAN来过滤，但这已不是我们今天所讨论的问题了，如有机会下期会写出来和大家见面的。
还有一点注意的是，要经常备份我们路由的配置文件，这些文件放在安全的在存储设备上，如果配置文件保存在tftp服务器上说不定那天tftp服务器就被你自己人拿下了。由于篇幅原因只能就此搁笔了，还有很多没有涉及到，本文技术浅薄大牛匆笑。
（出处：http://www.8s8s.net）

上一篇：到底金山毒霸2005好还是2006好下一篇：地区问题 iAs

电脑常识文选风云榜