cisco路由器安全防护

客户需要一个自己也说不清的需求：保障网络的安全。于是本人收集整理了一个所谓的网络安全方案，结果客户很满足，决定把他当作模板来部署他们的网络。与大家共享，并希望大家都来补充完善。

一、路由器访问控制的安全配置

1,严格控制可以访问路由器的治理员。任何一次维护都需要记录备案。

2,对于远程访问路由器，建议使用访问控制列表和高强度的密码控制。

3,严格控制CON端口的访问，给CON口设置高强度的密码。

4,假如不使用AUX端口，则禁止这个端口。默认是未被启用。禁止命令为：

Router(Config)#line aux 0

Router(Config-line)#transport input none

Router(Config-line)#no exec

5,建议采用权限分级策略。如：

Router(Config)#username BluShin privilege 10 G00dPa55w0rd

Router(Config)#privilege EXEC level 10 telnet

Router(Config)#privilege EXEC level 10 show ip Access-list

6,为特权模式的进入设置强壮的密码。不要采用enable passWord设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。

7,控制对VTY的访问。需要设置强壮的密码。由于VTY在网络的传输过程中不加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。

8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如：

Router(Config)#ip ftp username BluShin

Router(Config)#ip ftp password 4tppa55w0rd

Router#copy startup-config ftp:

9,及时的升级和修补IOS软件。

二、路由器网络服务安全配置

1、禁止CDP(Cisco Discovery Protocol)。如：

Router(Config)#no cdp run

Router(Config-if)# no cdp enable

2、禁止其他的TCP、UDP Small服务。

Router(Config)# no service tcp-small-servers

Router(Config)# no service udp-small-servers

3、禁止Finger服务。

Router(Config)# no ip finger

Router(Config)# no service finger

4、禁止HTTP服务。

Router(Config)# no ip http server

5、禁止BOOTp服务。

Router(Config)# no ip bootp server

禁止从网络启动和自动从网络下载初始配置文件。

Router(Config)# no boot network

Router(Config)# no servic config

6、禁止IP Source Routing。

Router(Config)# no ip source-route

7、建议假如不需要ARP-Proxy服务则禁止它，路由器默熟悉开启的。

Router(Config)# no ip proxy-arp

Router(Config-if)# no ip proxy-arp

8、明确的禁止IP Directed Broadcast。

Router(Config)# no ip directed-broadcast

9、禁止IP Classless。

Router(Config)# no ip classless

10、禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。

Router(Config-if)# no ip unreacheables

Router(Config-if)# no ip redirects

Router(Config-if)# no ip mask-reply

11、建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如：

Router(Config)# no snmp-server community ro

Router(Config)# no snmp-server community rw

三、路由器防止攻击的安全配置

1、TCP SYN的防范。如：

A: 通过访问列表防范。

Router(Config)# no access-list 106

Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established

Router(Config)# access-list 106 deny ip any any log

Router(Config)# interface eth 0/2

Router(Config-if)# description “external Ethernet”

Router(Config-if)# ip address 192.168.1.254 255.255.255.0

Router(Config-if)# ip access-group 106 in

B：通过TCP截获防范。

Router(Config)# ip tcp intercept list 107

Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255

Router(Config)# access-list 107 deny ip any any log

Router(Config)# interface eth0

Router(Config)# ip access-group 107 in

2、LAND.C 进攻的防范。

Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log

Router(Config)# access-list permit ip any any

Router(Config)# interface eth 0/2

Router(Config-if)# ip address 192.168.1.254 255.255.255.0

Router(Config-if)# ip access-group 107 in

3、Smurf攻击的防范。

Router(Config-if)#no ip directed-broadcast

Router(Config)# access-list 108 deny ip any host 192.168.1.255 log

Router(Config)# access-list 108 deny ip any host 192.168.1.0 log

4、ICMP协议的安全配置。对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流，我们可以答应ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。

! outbound ICMP Control

Router(Config)# access-list 110 deny icmp any any echo log

Router(Config)# access-list 110 deny icmp any any redirect log

Router(Config)# access-list 110 deny icmp any any mask-request log

Router(Config)# access-list 110 permit icmp any any

! Inbound ICMP Control

Router(Config)# access-list 111 permit icmp any any echo

Router(Config)# access-list 111 permit icmp any any Parameter-problem

Router(Config)# access-list 111 permit icmp any any packet-too-big

Router(Config)# access-list 111 permit icmp any any source-quench

Router(Config)# access-list 111 deny icmp any any log

! Outbound TraceRoute Control

Router(Config)# access-list 112 deny udp any any range 33400 34400

! Inbound TraceRoute Control

Router(Config)# access-list 112 permit udp any any range 33400 34400

5.DDoS(Distributed Denial of Service)的防范。

! The TRINOO DDoS system

Router(Config)# access-list 113 deny tcp any any eq 27665 log

Router(Config)# access-list 113 deny udp any any eq 31335 log

Router(Config)# access-list 113 deny udp any any eq 27444 log

! The Stacheldtraht DDoS system

Router(Config)# access-list 113 deny tcp any any eq 16660 log

Router(Config)# access-list 113 deny tcp any any eq 65000 log

! The TrinityV3 System

Router(Config)# access-list 113 deny tcp any any eq 33270 log

Router(Config)# access-list 113 deny tcp any any eq 39168 log

! The SubSeven DDoS system and some Variants

Router(Config)# access-list 113 deny tcp any any range 6711 6712 log

Router(Config)# access-list 113 deny tcp any any eq 6776 log

Router(Config)# access-list 113 deny tcp any any eq 6669 log

Router(Config)# access-list 113 deny tcp any any eq 2222 log

Router(Config)# access-list 113 deny tcp any any eq 7000 log

四、路由器防止病毒的安全配置

1、 用于控制Nachi蠕虫的扫描

access-list 110 deny icmp any any echo

2、用于控制Blaster蠕虫的传播

access-list 110 deny tcp any any eq 4444

access-list 110 deny udp any any eq 69

3、用于控制Blaster蠕虫的扫描和攻击

access-list 110 deny tcp any any eq 135

access-list 110 deny udp any any eq 135

access-list 110 deny tcp any any eq 139

access-list 110 deny udp any any eq 139

access-list 110 deny tcp any any eq 445

access-list 110 deny udp any any eq 445

access-list 110 deny tcp any any eq 593

access-list 110 deny udp any any eq 593

4、用于控制 Slammer 蠕虫的传播

access-list 110 deny udp any any eq 1434

access-list 110 permit ip any any

5、关闭可能存在的漏洞

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.240.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny icmp any any echo-reply !

拒绝任何应答

access-list 101 deny icmp any any host-unreachable ! 拒绝任何无法接通的主机

access-list 101 deny udp any any eq snmp ! 拒绝引入的SNMP

access-list 101 deny udp any eq 2000 ! 拒绝引入的openwindows

access-list 101 deny udp any any gt 6000 ! 拒绝引入的X-windows

access-list 101 deny tcp any any eq 2000 ! 拒绝引入的openwindows

access-list 101 deny tcp any any gt 6000 ! 拒绝引入的X-windows

access-list 101 deny udp any any eq 69 ! 拒绝引入的tftpd

access-list 101 deny udp any any eq 111 ! 拒绝引入的SunRPC

access-list 101 deny udp any any eq 2049 ! 拒绝引入的NFS

access-list 101 deny tcp any any eq 111 ! 拒绝引入的SunRPC

access-list 101 deny tcp any any eq 2049 ! 拒绝引入的 NFS

access-list 101 deny tcp any any eq 87 ! 拒绝引入的连接

access-list 101 deny tcp any any eq 512 ! 拒绝引入的 BSD UNIX “r”指令

access-list 101 deny tcp any any eq 513 ! 拒绝引入的 BSD UNIX “r”指令

access-list 101 deny tcp any any eq 514 ! 拒绝引入的 BSD UNIX “r”指令

access-list 101 deny tcp any any eq 515 ! 拒绝引入的 lpd

access-list 101 deny tcp any any eq 540 ! 拒绝引入的 uUCpd

access-list 101 deny pim any any

access-list 101 deny 55 any any

access-list 101 deny 77 any any

access-list 101 deny 225 any any

access-list 101 deny udp any any eq 1434

access-list 101 deny udp any any eq 4672

access-list 101 deny tcp any any eq 445

access-list 101 deny tcp any any eq 5800

access-list 101 deny tcp any any eq 5900

access-list 101 deny udp any any eq 135

access-list 101 deny udp any any eq 445

access-list 101 deny udp any any eq 593

access-list 101 deny udp any any eq 53

access-list 101 deny tcp any any eq 135

access-list 101 deny tcp any any eq 139

access-list 101 deny tcp any any eq 42

access-list 101 deny udp any any eq netbios-ss

access-list 101 deny udp any any eq netbios-ns

access-list 101 deny tcp any any eq 593

access-list 101 deny tcp any any eq 3333

access-list 101 deny udp any any eq 4444

access-list 101 permit ip any any

• ·基础讲解：策略路由的原理与应用
• ·增加路由器稳定性通过使用系统内存128 MB与
• ·愁云逐消 解决宽带路由器的两个烦恼
• ·详解多功能路由器SA113 （1）
• ·如何选择您的网络的最佳路由器交换路径
• ·如何使用Cisco路由器回拨功能
• ·思科路由器安全功能对BT流量的控制
• ·SNMP管理框架及其在Cisco路由器的实现
• ·路由器不认ADSL模块的解决办法
• ·Cisco发布针对路由器ICMP最新攻击方法