舉例:
Ro(config-if)#enable secret level 9 ~@~!79#^&^089^ */設(shè)置一個級別為9級的~@~!79#^&^089^密碼
Ro(config-if)#service router-encryption */啟動服務(wù)密碼加密過程
enable secret命令答應(yīng)治理員通過數(shù)字0-15,來指定密碼加密級別.其默認(rèn)級別為15.
3.控制telnet訪問控制
為了保護(hù)路由器訪問控制權(quán)限,必須限制登陸訪問路由器的主機(jī),針對VTY(telnet)端口訪問控制的方法,具體配置要先建立一個訪問控制列表,如下示例,建立一個標(biāo)準(zhǔn)的訪問控制列表(編號從1--99任意選擇):
access-list 90 permit 172.30.1.45
access-list 90 permit 10.1.1.53
該訪問列表僅答應(yīng)以上兩個IP地址之一的主機(jī)對路由器進(jìn)行telnet訪問,注重:創(chuàng)建該列表后必須指定到路由器端口某個端口上,具體指定方法如下:
line vty E0 4
access-class 90 in
以上配置是入站到E0端口的telnet示例,出站配置采用out,在這里將不再具體贅述.為了保護(hù)路由器的安全設(shè)置,也可以限制其telnet訪問的權(quán)限,比如:通過分配治理密碼來限制一個治理員只能有使用show命令的配置如下:
enable secret level 6 123456
privilege exec 6 show
給其分配密碼為123456,telnet進(jìn)入路由器后,只能用show命令,其他任何設(shè)置權(quán)限全部被限制.另外,也可以通過訪問時間來限制所有端口的登陸訪問情況,在超時的情況下,將自動斷開,下面是一個配置所有端口訪問活動3分30秒的設(shè)置示例:
exec-timeout 3 30
4.禁止CDP
CDP(Cisco Discovery Protocol)CISCO查找協(xié)議,該協(xié)議存在CISCO11.0以后的IOS版本中,都是默認(rèn)啟動的,他有一個缺陷就是:對所有發(fā)出的設(shè)備請求都做出應(yīng)答.這樣將威脅到路由器的泄密情況,因此,必須禁止其運行,方法如下:
no cdp run
治理員也可以指定禁止某端口的CDP,比如:為了讓路由器內(nèi)部網(wǎng)絡(luò)使用CDP,而禁止路由器對外網(wǎng)的CDP應(yīng)答,可以輸入以下接口命令:
no cdp enable
5.HTTP服務(wù)的配置
現(xiàn)在許多CISCO設(shè)備,都答應(yīng)使用WEB界面來進(jìn)行控制配置了,這樣可以為初學(xué)者提供方便的治理,但是,在這方便的背后,卻隱藏了很大的危機(jī),為了能夠配置好HTTP服務(wù),本文也提一下如何配置吧.
使用ip http server命令可以打開HTTP服務(wù),使用no ip http server命令可以關(guān)閉HTTP服務(wù).為了安全考慮,假如需要使用HTTP服務(wù)來治理路由器的話,最好是配合訪問控制列表和AAA認(rèn)證來做,也可以使用enable password命令來控制登陸路由器的密碼.具體的配置是在全局模式下來完成的,下面是我們創(chuàng)建一個簡單的標(biāo)準(zhǔn)訪問控制列表配合使用HTTP服務(wù)的示例:
ip http server */打開HTTP服務(wù)
ip http port 10248 */定義10248端口為HTTP服務(wù)訪問端口
access-list 80 permit host 10.0.0.1 */創(chuàng)建標(biāo)準(zhǔn)訪問列表80,只答應(yīng)10.0.0.1主機(jī)通過
ip http access-class 80 */定義了列表號為80的標(biāo)準(zhǔn)訪問列表為HTTP服務(wù)答應(yīng)訪問的
ip http authentication aaa tacacs */增加AAA認(rèn)證服務(wù)來驗證HTTP控制的主機(jī)
6.寫在最后的話
保護(hù)路由器并不是這樣簡單的事情,在很多實際應(yīng)用中,還需要很多輔助配置.為了保護(hù)路由器,各種各樣的安全產(chǎn)品都相繼出現(xiàn),比如給路由器添加硬件防火墻,配置AAA服務(wù)認(rèn)證,設(shè)置IDS入侵檢測等等吧.為了維護(hù)路由器的安全穩(wěn)定工作,我要告訴大家最重要的還是配置最小化IOS,沒有服務(wù)的設(shè)備,肯定沒有人能夠入侵,最小化的服務(wù)就是我們最大化的安全

推薦閱讀

• 

  blaaloo是華為什么型號 blaaloo是華為哪個型號
• 

  小烤箱烤6寸蛋糕時間
• 

  具體指現(xiàn)在哪里 西游記的女兒國是現(xiàn)在的什么地方
• 

  簡單說說心情致自己
• 

  XP組策略禁止gpedit.msc死鎖的解決方案
• 

  快速撥打電話號碼和查找聯(lián)系人
• 

  粉紅燒麥做法圖解 查看我的菜譜吧！
• 

  無錫事業(yè)單位可以申請技能提升補貼嗎？
• 

  圖說｜魔高一尺道高一丈！掌握這10條公式一眼識電詐
• 

  夜景燈籠怎么拍才能曝光正確
• 

  進(jìn)口版xf軸距多長
• 

  iphonese2現(xiàn)在價格 瀏覽更多iphone
• 

  寶馬大燈清洗裝置如何用
• 

  etc黑名單怎么解除 etc顯示黑名單怎么回事
• 

  風(fēng)色軌跡什么職業(yè)爬塔,《風(fēng)色軌跡》神秘新資料片
• 

  銷售難在哪里?,土雞需求一直都在

• 蝎子是怎么進(jìn)入室內(nèi)的
• 華為手機(jī)的放大器在哪個設(shè)置里
• 悅動圈添加健身計劃的圖文講解
• 我的lol駕照怎么弄的？我的lol駕照生成方法
• 洋蔥病害的防治
• 中華民族的立身之本
• 螢火蟲給科學(xué)家怎樣的啟示 螢火蟲給了科學(xué)家什么提示
• 路由器的安全與可靠的問題
• 社?？ǖ你y行卡號可以更換嗎
• 吳國在現(xiàn)在的什么地方