|
|
确保安全的简单路由器配置
1.严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。
2.建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3.严格控制CON端口的访问。具体的措施:如果可以开机箱的,则可以切断与CON口互联的物理线路;可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的);给CON口设置高强度的密码;配合使用访问控制列表控制对CON口的访问。
4.IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。
5.启用SSH,废弃掉Telnet。但只有支持并带有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2仅支持SSH-V1及时的升级和修补IOS软件,并为其作备份。
6.启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。
7.要严格设置登录Banner。必须包含非授权用户禁止登录的字样。
8.IP欺骗的简单防护。如过滤非公有地址访问内部网络;过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。
9.通过访问列表或者TCP截获方式(这会给路由器产生一定负载)进行TCP SYN的防范。 |
|
发表于 2006-5-22 11:51:27