分析路由器访问控制的安全配置实用配置

会计考友

1 建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。
2 严格控制CON端口的访问。
7 w/ ^1 n' r+ t& z配合使用访问控制列表控制对CON口的访问。
3 A# F3 p; P$ d* }( g( X如：Router（Config）#Access－list 1 permit 192.168.0.1
  T! c7 t# u& R' b0 ~Router（Config）#line con 0
Router（Config－line）#Transport input none
& f6 b: \9 F8 }. S: @8 wRouter（Config－line）#Login local
Router（Config－line）#Exec－timeoute 5 0
5 o" J3 e7 t; H+ l) I7 NRouter（Config－line）#access－class 1 in
Router（Config－line）#end
$ q) G. J  |& k. n$ B8 B同时给CON口设置高强度的密码。
; K3 I; f+ g4 l5 O' n0 o3 如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如：
3 b! K# h1 h# r2 o# E! @Router（Config）#line aux 0
- [7 y/ S. q' C+ Q0 F: dRouter（Config－line）#transport input none
Router（Config－line）#no exec
" y$ ?' E4 r$ T# }4 建议采用权限分级策略。如：
2 L; l7 j$ u: LRouter（Config）#username test privilege 10 xxxx
Router（Config）#privilege EXEC level 10 telnet
# i  {; i" Y8 ~% |Router（Config）#privilege EXEC level 10 show ip access－list
5 为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password－encryption。
0 H: v+ T. A6 }, l4 L. ?8 _  ?2 DRouter（config）#service password－encryption
Router（config）#enable secret
6 控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等 。