Cisco 路由器安全必须

我是条汉子

Cisco路由器安全配置必用10条命令　　当谈到配置一台新的Cisco路由器，多数配置依赖于路由器的类型以及它将服务的用途。然而，每位管理员都有其自己的“正确”配置每台路由器的命令列表。笔者将和你分享他自己配置路由器的十条命令列表。
　　当谈到配置一台新的Cisco路由器，多数配置依赖于路由器的类型以及它将服务的用途。然而，有一些东西是你在每台新的Cisco路由器上都应该配置的。
　　有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的“正确”配置每台路由器的命令。
　　这是我认为你应该在每台路由器上都配置的十条命令的列表(没有特别的顺序)。
　　在路由器上配置一个登录帐户
　　我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号。这样做，意味着你需要用户和口令来获得访问权。
　　除此之外，我建议为用户名使用一个秘密口令，而不仅有一个常规口令。它用MD5加密方法来加密口令，并且大大提高了安全性。举例如下:
　　Router(config)# username root secret My$Password
　　在配置了用户名后，你必须启用使用该用户名的端口。举例如下: Router(config)# line con 0
　　Router(config-line)# login local
　　Router(config)# line aux 0
　　Router(config-line)# login local
　　Router(config)# line vty 0 4
　　Router(config-line)# login local
　　在路由器上设置一个主机名
　　我猜测路由器上缺省的主机名是router。你可以保留这个缺省值，路由器同样可以正常运行。然而，对路由器重新命名并唯一地标识它才有意 义。举例如下:
　　Router(config)# hostname Router-Branch-23
　　除此之外，你可以在路由器上配置一个域名，这样它就知道所处哪个DNS域中。举例如下:
　　Router-Branch-23(config)# ip domain name TechRepublic.com
　　为进入特权模式设置口令
　　当谈到设置进入特权模式的口令时，许多人想到使用enable password命令。然而，代替使用这个命令，我强烈推荐使用enable secret命令。
　　这个命令用MD5加密方法加密口令，所以提示符不以明文显示。举例如下:
　　Router(config)# enable secret My$Password
　　加密路由器口令
　　Cisco路由器缺省情况下在配置中不加密口令。然而，你可以很容易地改变这一点。举例如下:
　　Router(config)# service password-encryption
　　禁用Web服务
　　Cisco路由器还在缺省情况下启用了Web服务，它是一个安全风险。如果你不打算使用它，最好将它关闭。举例如下:
　　Router(config)# no ip http server
　　配置DNS，或禁用DNS查找
　　让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下，如果在特权模式下误输入了一个命令，路由器认为你试图Telnet到一个远程 主机。然而它对你输入的内容却执行DNS查找。
　　如果你没有在路由器上配置DNS，命令提示符将挂起直到DNS查找失败。由于这个原因，我建议使用下面两个方法中的一个。
　　一个选择是禁用DNS。做法是:
　　Router(config)# no ip domain-lookup
　　或者，你可以正确地配置DNS指向一台真实的DNS服务器。
　　Router(config)# ip name-server
　　当谈到配置一台新的Cisco路由器，多数配置依赖于路由器的类型以及它将服务的用途。然而，每位管理员都有其自己的“正确”配置每台路由器的命令列表。笔者将和你分享他自己配置路由器的十条命令列表。
　　当谈到配置一台新的Cisco路由器，多数配置依赖于路由器的类型以及它将服务的用途。然而，有一些东西是你在每台新的Cisco路由器上都应该配置的。
　　有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的“正确”配置每台路由器的命令。
　　这是我认为你应该在每台路由器上都配置的十条命令的列表(没有特别的顺序)。
　　在路由器上配置一个登录帐户
　　我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号。这样做，意味着你需要用户和口令来获得访问权。
　　除此之外，我建议为用户名使用一个秘密口令，而不仅有一个常规口令。它用MD5加密方法来加密口令，并且大大提高了安全性。举例如下:
　　Router(config)# username root secret My$Password
　　在配置了用户名后，你必须启用使用该用户名的端口。举例如下: Router(config)# line con 0
　　Router(config-line)# login local
　　Router(config)# line aux 0
　　Router(config-line)# login local
　　Router(config)# line vty 0 4
　　Router(config-line)# login local
　　在路由器上设置一个主机名
　　我猜测路由器上缺省的主机名是router。你可以保留这个缺省值，路由器同样可以正常运行。然而，对路由器重新命名并唯一地标识它才有意 义。举例如下:
　　Router(config)# hostname Router-Branch-23
　　除此之外，你可以在路由器上配置一个域名，这样它就知道所处哪个DNS域中。举例如下:
　　Router-Branch-23(config)# ip domain name TechRepublic.com
　　为进入特权模式设置口令
　　当谈到设置进入特权模式的口令时，许多人想到使用enable password命令。然而，代替使用这个命令，我强烈推荐使用enable secret命令。
　　这个命令用MD5加密方法加密口令，所以提示符不以明文显示。举例如下:
　　Router(config)# enable secret My$Password
　　加密路由器口令
　　Cisco路由器缺省情况下在配置中不加密口令。然而，你可以很容易地改变这一点。举例如下:
　　Router(config)# service password-encryption
　　禁用Web服务
　　Cisco路由器还在缺省情况下启用了Web服务，它是一个安全风险。如果你不打算使用它，最好将它关闭。举例如下:
　　Router(config)# no ip http server
　　配置DNS，或禁用DNS查找
　　让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下，如果在特权模式下误输入了一个命令，路由器认为你试图Telnet到一个远程 主机。然而它对你输入的内容却执行DNS查找。
　　如果你没有在路由器上配置DNS，命令提示符将挂起直到DNS查找失败。由于这个原因，我建议使用下面两个方法中的一个。
　　一个选择是禁用DNS。做法是:
　　Router(config)# no ip domain-lookup
　　或者，你可以正确地配置DNS指向一台真实的DNS服务器。
　　Router(config)# ip name-server