精华内容
下载资源
问答
  • 本指南包含了思科路由器各种访问配置的具体说明,实现各种访问策略,值得大家下载学习实践。
  • Cisco路由器访问控制的安全配置

    千次阅读 2006-10-13 23:10:00
    一,路由器访问控制的安全配置1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。3,严格控制CON端口的...
    这篇是墨斗鱼早期写的,现在贴出来下。
    
    一,路由器访问控制的安全配置

    1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。

    2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。

    3,严格控制CON端口的访问。具体的措施有:

    A,如果可以开机箱的,则可以切断与CON口互联的物理线路。B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。C,配合 使用访问控制列表控制对CON口的访问。如:Router(Config)#Access-list 1 permit 192.168.0.1Router(Config)#line con 0Router(Config-line)#Transport input noneRouter(Config-line)#Login localRouter(Config-line)#Exec-timeoute 5 0Router(Config-line)#access-class 1 inRouter(Config-line)#endD,给CON口设置高强度的密码。


    4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:

    Router(Config)#line aux 0Router(Config-line)#transport input noneRouter(Config-line)#no exec


    5,建议采用权限分级策略。如:

    Router(Config)#username BluShin privilege 10 G00dPa55w0rdRouter(Config)#privilege EXEC level 10 telnetRouter(Config)#privilege EXEC level 10 show ip access-list


    6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。

    7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。

    8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:

    Router(Config)#ip ftp username BluShinRouter(Config)#ip ftp password 4tppa55w0rdRouter#copy startup-config ftp:


    9,及时的升级和修补IOS软件。

    二,路由器网络服务安全配置

    1,禁止CDP(Cisco Discovery Protocol)。如:Router(Config)#no cdp runRouter(Config-if)# no cdp enable
    2,禁止其他的TCP、UDP Small服务。Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers
    3,禁止Finger服务。Router(Config)# no ip fingerRouter(Config)# no service finger
    4,建议禁止HTTP服务。Router(Config)# no ip http server如果启用了HTTP服务则需要对其进行安全配置:
    设置用户名和密码;采用访问列表进行控制。如:Router(Config)# username BluShin privilege 10 G00dPa55w0rdRouter(Config)# ip http auth localRouter(Config)# no access-list 10Router(Config)# access-list 10 permit 192.168.0.1Router(Config)# access-list 10 deny anyRouter(Config)# ip http access-class 10Router(Config)# ip http serverRouter(Config)# exit
    5,禁止BOOTp服务。Router(Config)# no ip bootp server禁止从网络启动和自动从网络下载初始配置文件。Router(Config)# no boot networkRouter(Config)# no servic config
    6,禁止IP Source Routing。Router(Config)# no ip source-route
    7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp
    8,明确的禁止IP Directed Broadcast。Router(Config)# no ip directed-broadcast
    9,禁止IP Classless。Router(Config)# no ip classless
    10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply
    11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。
    或者需要访问列表来过滤。如:Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RWRouter(Config)# no access-list 70Router(Config)# access-list 70 deny anyRouter(Config)# snmp-server community MoreHardPublic Ro 70Router(Config)# no snmp-server enable trapsRouter(Config)# no snmp-server system-shutdownRouter(Config)# no snmp-server trap-anthRouter(Config)# no snmp-serverRouter(Config)# end
    12,如果没必要则禁止WINS和DNS服务。Router(Config)# no ip domain-lookup如果需要则需要配置:Router(Config)# hostname RouterRouter(Config)# ip name-server 202.102.134.96
    13,明确禁止不使用的端口。Router(Config)# interface eth0/3Router(Config)# shutdown

    三,路由器路由协议安全配置

    1,首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。Router(Config)# no ip proxy-arp 或者Router(Config-if)# no ip proxy-arp

    2,启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。Router(Config)# router ospf 100Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100! 启用MD5认证。! area area-id authentication 启用认证,是明文密码认证。!area area-id authentication message-digestRouter(Config-router)# area 100 authentication message-digestRouter(Config)# exitRouter(Config)# interface eth0/1!启用MD5密钥Key为routerospfkey。!ip ospf authentication-key key 启用认证密钥,但会是明文传输。!ip ospf message-digest-key key-id(1-255) md5 keyRouter(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey

    3,RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。Router(Config)# config terminal! 启用设置密钥链Router(Config)# key chain mykeychainnameRouter(Config-keychain)# key 1!设置密钥字串Router(Config-leychain-key)# key-string MyFirstKeyStringRouter(Config-keyschain)# key 2Router(Config-keychain-key)# key-string MySecondKeyString!启用RIP-V2Router(Config)# router ripRouter(Config-router)# version 2Router(Config-router)# network 192.168.100.0Router(Config)# interface eth0/1! 采用MD5模式认证,并选择已配置的密钥链Router(Config-if)# ip rip authentication mode md5Router(Config-if)# ip rip anthentication key-chain mykeychainname

    4,启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。! Rip中,禁止端口0/3转发路由信息Router(Config)# router RipRouter(Config-router)# passive-interface eth0/3!OSPF中,禁止端口0/3接收和转发路由信息Router(Config)# router ospf 100Router(Config-router)# passive-interface eth0/3

    5,启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255Router(Config)# access-list 10 permit any! 禁止路由器接收更新192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 in!禁止路由器转发传播192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 out

    6,建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。Router# config t! 启用CEFRouter(Config)# ip cef!启用Unicast Reverse-Path VerificationRouter(Config)# interface eth0/1Router(Config)# ip verify unicast reverse-path

    四,路由器其他安全配置

    1,及时的升级IOS软件,并且要迅速的为IOS安装补丁。
    2,要严格认真的为IOS作安全备份。
    3,要为路由器的配置文件作安全备份。
    4,购买UPS设备,或者至少要有冗余电源。
    5,要有完备的路由器的安全访问和维护记录日志。
    6,要严格设置登录Banner。必须包含非授权用户禁止登录的字样。
    7, IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);
    RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);
    不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any logRouter(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any logRouter(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any logRouter(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any logRouter(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any logRouter(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 anyRouter(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any logRouter(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log

    8,建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。如:Router(Config)# no access-list 101Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 anyRouter(Config)# access-list 101 deny ip any any logRouter(Config)# interface eth 0/1Router(Config-if)# description "internet Ethernet"Router(Config-if)# ip address 192.168.0.254 255.255.255.0Router(Config-if)# ip access-group 101 in

     
    展开全文
  • 主要为大家介绍了在网络正常通信后,如何配置Cisco路由器ACL访问控制列的详细步骤,以及配置的细节,需要的朋友可以参考下
  • 主要介绍了思科路由器的网络访问控制之静态路由配置介绍,本文讲解了什么是网络访问控制、手工配置静态路由等内容,需要的朋友可以参考下
  • 路由器访问控制的安全配置 路由器配置成X.25交换机 路由器网络服务安全配置 桥接技术巧解路由器配置IP问题 如何备份cisco路由器配置文件 实例:桥接技术巧解路由器配置IP参数问题 在Cisco路由器配置思科路由器上...
  • 实验拓扑图 标准访问控制列表 实验目的:不让主机号为奇数的主机访问服务器。 R0的配置: 发现pc2可以访问服务器 ...做好这些准备后就可以开始配置扩展访问控制列表 发现pc1可以访问http,不可以访问ft

    实验拓扑图
    标准访问控制列表
    在这里插入图片描述
    实验目的:不让主机号为奇数的主机访问服务器。
    R0的配置:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    发现pc2可以访问服务器
    在这里插入图片描述
    pc1不可以访问路由器

    展开全文
  • CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤
  • Cisco路由器交换机安全配置 网络结构及安全脆弱性 为了使设备配置简单或易于用户使用Router 或Switch初始状态并没有配置安全措施所以 网络具有许多安全脆弱性因此网络中常面临如 下威胁 DDOS攻击 非法授权访问攻击 ...
  • 一、路由器访问控制的安全配置 二、路由器网络服务安全配置 三、路由器路由协议安全配置 四、路由器其他安全配置
  • 路由器访问控制的安全配置

    千次阅读 2006-08-10 12:55:00
    1.严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2.建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3.严格控制CON端口的访问。具体的措施有: A.如果...
    1.严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 
    

    2.建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。

    3.严格控制CON端口的访问。具体的措施有:

    A.如果可以开机箱的,则可以切断与CON口互联的物理线路。

    B.可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。

    C.配合使用访问控制列表控制对CON口的访问。

    如:Router(Config)#Access-list 1 permit 192.168.0.1
    Router(Config)#line con 0
    Router(Config-line)#Transport input none
    Router(Config-line)#Login local
    Router(Config-line)#Exec-timeoute 5 0
    Router(Config-line)#access-class 1 in
    Router(Config-line)#end

    D.给CON口设置高强度的密码。

    4.如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:

    Router(Config)#line aux 0
    Router(Config-line)#transport input none
    Router(Config-line)#no exec


    5.建议采用权限分级策略。如:

    Router(Config)#username BluShin privilege 10 G00dPa55w0rd
    Router(Config)#privilege EXEC level 10 telnet
    Router(Config)#privilege EXEC level 10 show ip access-list
    /pre>


    6.为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。

    7.控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。

    8.IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:

    Router(Config)#ip ftp username BluShin
    Router(Config)#ip ftp password 4tppa55w0rd
    Router#copy startup-config ftp:
    /pre>


    9.及时的升级和修补IOS软件。

    二.路由器网络服务安全配置

    1.禁止CDP(Cisco Discovery Protocol)。如:

    Router(Config)#no cdp run
    Router(Config-if)# no cdp enable
    /pre>


    2.禁止其他的TCP、UDP Small服务。

    Router(Config)# no service tcp-small-servers
    Router(Config)# no service udp-samll-servers
    /pre>


    3.禁止Finger服务。

    Router(Config)# no ip finger
    Router(Config)# no service finger
    /pre>


    4.建议禁止HTTP服务。

    Router(Config)# no ip http server

    如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。如:

    Router(Config)# username BluShin privilege 10 G00dPa55w0rd
    Router(Config)# ip http auth local
    Router(Config)# no access-list 10
    Router(Config)# access-list 10 permit 192.168.0.1
    Router(Config)# access-list 10 deny any
    Router(Config)# ip http access-class 10
    Router(Config)# ip http server
    Router(Config)# exit
    /pre>


    5.禁止BOOTp服务。

    Router(Config)# no ip bootp server

    禁止从网络启动和自动从网络下载初始配置文件。

    Router(Config)# no boot network

    Router(Config)# no servic config

    6.禁止IP Source Routing。

    Router(Config)# no ip source-route

    7.建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。

    Router(Config)# no ip proxy-arp

    Router(Config-if)# no ip proxy-arp

    8.明确的禁止IP Directed Broadcast。

    Router(Config)# no ip directed-broadcast

    9.禁止IP Classless。

    Router(Config)# no ip classless
    10.禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。

    Router(Config-if)# no ip unreacheables
    Router(Config-if)# no ip redirects
    Router(Config-if)# no ip mask-reply


    11.建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:

    Router(Config)# no snmp-server community public Ro
    Router(Config)# no snmp-server community admin RW
    Router(Config)# no access-list 70
    Router(Config)# access-list 70 deny any
    Router(Config)# snmp-server community MoreHardPublic Ro 70
    Router(Config)# no snmp-server enable traps
    Router(Config)# no snmp-server system-shutdown
    Router(Config)# no snmp-server trap-anth
    Router(Config)# no snmp-server
    Router(Config)# end


    12.如果没必要则禁止WINS和DNS服务。

    Router(Config)# no ip domain-lookup

    如果需要则需要配置:

    Router(Config)# hostname Router

    Router(Config)# ip name-server 202.102.134.96

    13.明确禁止不使用的端口。

    Router(Config)# interface eth0/3

    Router(Config)# shutdown
    三.路由器路由协议安全配置

    1.首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。

    Router(Config)# no ip proxy-arp 或者

    Router(Config-if)# no ip proxy-arp

    2.启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。

    Router(Config)# router ospf 100
    Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100
    ! 启用MD5认证。
    ! area area-id authentication 启用认证,是明文密码认证。
    !area area-id authentication message-digest
    Router(Config-router)# area 100 authentication message-digest
    Router(Config)# exit
    Router(Config)# interface eth0/1
    !启用MD5密钥Key为routerospfkey。
    !ip ospf authentication-key key 启用认证密钥,但会是明文传输。
    !ip ospf message-digest-key key-id(1-255) md5 key
    Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey


    3.RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。

    Router(Config)# config terminal
    ! 启用设置密钥链
    Router(Config)# key chain mykeychainname
    Router(Config-keychain)# key 1
    !设置密钥字串
    Router(Config-leychain-key)# key-string MyFirstKeyString
    Router(Config-keyschain)# key 2
    Router(Config-keychain-key)# key-string MySecondKeyString
    !启用RIP-V2
    Router(Config)# router rip
    Router(Config-router)# version 2
    Router(Config-router)# network 192.168.100.0
    Router(Config)# interface eth0/1
    ! 采用MD5模式认证,并选择已配置的密钥链
    Router(Config-if)# ip rip authentication mode md5
    Router(Config-if)# ip rip anthentication key-chain mykeychainname


    4.启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。

    ! Rip中,禁止端口0/3转发路由信息
    Router(Config)# router Rip
    Router(Config-router)# passive-interface eth0/3
    !OSPF中,禁止端口0/3接收和转发路由信息
    Router(Config)# router ospf 100
    Router(Config-router)# passive-interface eth0/3


    5.启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。

    Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255
    Router(Config)# access-list 10 permit any
    ! 禁止路由器接收更新192.168.1.0网络的路由信息
    Router(Config)# router ospf 100
    Router(Config-router)# distribute-list 10 in
    !禁止路由器转发传播192.168.1.0网络的路由信息
    Router(Config)# router ospf 100
    Router(Config-router)# distribute-list 10 out
    6.建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。

    Router# config t
    ! 启用CEF
    Router(Config)# ip cef
    !启用Unicast Reverse-Path Verification
    Router(Config)# interface eth0/1
    Router(Config)# ip verify unicast reverse-path


    四.路由器其他安全配置

    1.及时的升级IOS软件,并且要迅速的为IOS安装补丁。

    2.要严格认真的为IOS作安全备份。

    3.要为路由器的配置文件作安全备份。

    4.购买UPS设备,或者至少要有冗余电源。

    5.要有完备的路由器的安全访问和维护记录日志。

    6.要严格设置登录Banner。必须包含非授权用户禁止登录的字样。

    7.IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。

    Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log
    Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
    Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
    Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
    Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
    Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log
    Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log
    Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
    Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log
    Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log
    Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log


    8.建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。如:

    Router(Config)# no access-list 101
    Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any
    Router(Config)# access-list 101 deny ip any any log
    Router(Config)# interface eth 0/1
    Router(Config-if)# description “internet Ethernet”
    Router(Config-if)# ip address 192.168.0.254 255.255.255.0
    Router(Config-if)# ip access-group 101 in


    9.TCP SYN的防范。如:

    A: 通过访问列表防范。
    Router(Config)# no access-list 106
    Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
    Router(Config)# access-list 106 deny ip any any log
    Router(Config)# interface eth 0/2
    Router(Config-if)# description “external Ethernet”
    Router(Config-if)# ip address 192.168.1.254 255.255.255.0
    Router(Config-if)# ip access-group 106 in
    B:通过TCP截获防范。(这会给路由器产生一定负载)
    Router(Config)# ip tcp intercept list 107
    Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
    Router(Config)# access-list 107 deny ip any any log
    Router(Config)# interface eth0
    Router(Config)# ip access-group 107 in


    10.LAND.C 进攻的防范。

    Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log
    Router(Config)# access-list permit ip any any
    Router(Config)# interface eth 0/2
    Router(Config-if)# ip address 192.168.1.254 255.255.255.0
    Router(Config-if)# ip access-group 107 in


    11.Smurf进攻的防范。

    Router(Config)# access-list 108 deny ip any host 192.168.1.255 log

    Router(Config)# access-list 108 deny ip any host 192.168.1.0 log

    12.ICMP协议的安全配置。对于进入ICMP流,我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流,我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。

    ! outbound ICMP Control
    Router(Config)# access-list 110 deny icmp any any echo log
    Router(Config)# access-list 110 deny icmp any any redirect log
    Router(Config)# access-list 110 deny icmp any any mask-request log
    Router(Config)# access-list 110 permit icmp any any
    ! Inbound ICMP Control
    Router(Config)# access-list 111 permit icmp any any echo
    Router(Config)# access-list 111 permit icmp any any Parameter-problem
    Router(Config)# access-list 111 permit icmp any any packet-too-big
    Router(Config)# access-list 111 permit icmp any any source-quench
    Router(Config)# access-list 111 deny icmp any any log
    ! Outbound TraceRoute Control
    Router(Config)# access-list 112 deny udp any any range 33400 34400
    ! Inbound TraceRoute Control
    Router(Config)# access-list 112 permit udp any any range 33400 34400


    13.DDoS(Distributed Denial of Service)的防范。

    ! The TRINOO DDoS system
    Router(Config)# access-list 113 deny tcp any any eq 27665 log
    Router(Config)# access-list 113 deny udp any any eq 31335 log
    Router(Config)# access-list 113 deny udp any any eq 27444 log
    ! The Stacheldtraht DDoS system
    Router(Config)# access-list 113 deny tcp any any eq 16660 log
    Router(Config)# access-list 113 deny tcp any any eq 65000 log
    ! The TrinityV3 System
    Router(Config)# access-list 113 deny tcp any any eq 33270 log
    Router(Config)# access-list 113 deny tcp any any eq 39168 log
    ! The SubSeven DDoS system and some Variants
    Router(Config)# access-list 113 deny tcp any any range 6711 6712 log
    Router(Config)# access-list 113 deny tcp any any eq 6776 log
    Router(Config)# access-list 113 deny tcp any any eq 6669 log
    Router(Config)# access-list 113 deny tcp any any eq 2222 log
    Router(Config)# access-list 113 deny tcp any any eq 7000 log


    14.建议启用SSH,废弃掉Telnet。但只有支持并带有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2仅支持SSH-V1。如下配置SSH服务的例子:

    Router(Config)# config t
    Router(Config)# no access-list 22
    Router(Config)# access-list 22 permit 192.168.0.22
    Router(Config)# access-list deny any
    Router(Config)# username BluShin privilege 10 G00dPa55w0rd
    ! 设置SSH的超时间隔和尝试登录次数
    Router(Config)# ip ssh timeout 90
    Router(Config)# ip ssh anthentication-retries 2
    Router(Config)# line vty 0 4
    Router(Config-line)# access-class 22 in
    Router(Config-line)# transport input ssh
    Router(Config-line)# login local
    Router(Config-line)# exit
    !启用SSH服务,生成RSA密钥对。
    Router(Config)# crypto key generate rsa
    The name for the keys will be: router.blushin.org
    Choose the size of the key modulus in the range of 360 to 2048 for your General
    Purpose keys .Choosing a key modulus greater than 512 may take a few minutes.
    How many bits in the modulus[512]: 2048
    Generating RSA Keys...
    [OK]
    Router(Config)# 
    展开全文
  • 思科路由器防火墙如何配置的方法

    万次阅读 2016-09-01 17:46:53
    思科路由器防火墙如何配置的方法:  一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问...

     思科路由器防火墙如何配置的方法:

      一、access-list 用于创建访问规则。

    (1)创建标准访问列表

    access-list [normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

    (2)创建扩展访问列表

    access-list [normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask[ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] |icmp-type [ icmp-code ] ] [ log ]

    (3) 删除访问列表

    no access-list{ normal | special } { all | listnumber [ subitem ] }

      【参数说明】

    normal 指定规则加入普通时间段。

    special 指定规则加入特殊时间段。

    listnumber1 199之间的一个数值,表示规则是标准访问列表规则。

    listnumber2 100199之间的一个数值,表示规则是扩展访问列表规则。

    permit 表明允许满足条件的报文通过。

    deny 表明禁止满足条件的报文通过。

    protocol 为协议类型,支持ICMPTCPUDP等,其它的协议也支持,此时没有端口比较的概念; IP时有特殊含义,代表所有的IP协议。

    source-addr 为源地址。

    source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0.

    dest-addr 为目的地址。

    dest-mask 为目的地址通配位。

    operator[可选] 端口操作符,在协议类型为TCPUDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range); 如果操作符为range, 则后面需要跟两个端口。

    port1 在协议类型为TCPUDP时出现,可以为关键字所设定的预设值(telnet)0~65535之间的一个数值。

    port2 在协议类型为TCPUDP且操作类型为range时出现;可以为关键字所设定的预设值(telnet)0~65535之间的一个数值。

    icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(echo-reply)或者是0~255之间的一个数值。

    icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。

    log [可选] 表示如果报文符合条件,需要做日志。

    listnumber 为删除的规则序号,是1~199之间的一个数值。

    subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。

      【缺省情况】

      系统缺省不配置任何访问规则。

      【命令模式】

      全局配置模式

      【使用指南】

      同一个序号的规则可以看作一类规则; 所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permitdeny表示是感兴趣的还是不感兴趣的。

      使用协议域为IP的扩展访问列表来表示所有的IP协议。

      同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 showaccess-list 命令看到。

      【举例】

      允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP.

    Quidway(config)#access-list100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www

    Quidway(config)#access-list100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

      【相关命令】

    ip access-group

     

      二、clearaccess-list counters 清除访问列表规则的统计信息。

    clearaccess-list counters [ listnumber ]

      【参数说明】

    listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。

      【缺省情况】

      任何时候都不清除统计信息。

      【命令模式】

      特权用户模式

      【使用指南】

      使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。

      【举例】

      例1: 清除当前所使用的序号为100的规则的统计信息。

    Quidway#clearaccess-list counters 100

      例2: 清除当前所使用的所有规则的统计信息。

    Quidway#clearaccess-list counters

      【相关命令】

    access-list

     

      三、firewall 启用或禁止防火墙。

    firewall {enable | disable }

      【参数说明】

    enable 表示启用防火墙。

    disable 表示禁止防火墙。

      【缺省情况】

      系统缺省为禁止防火墙。

      【命令模式】

      全局配置模式

      【使用指南】

      使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。

      【举例】

      启用防火墙。

    Quidway(config)#firewallenable

      【相关命令】

    access-list, ipaccess-group

     

      四、firewalldefault 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。

    firewalldefault { permit | deny }

      【参数说明】

    permit 表示缺省过滤属性设置为"允许".

    deny 表示缺省过滤属性设置为"禁止".

      【缺省情况】

      在防火墙开启的情况下,报文被缺省允许通过。

      【命令模式】

      全局配置模式

      【使用指南】

      当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是"允许",则报文可以通过,否则报文被丢弃。

      【举例】

      设置缺省过滤属性为"允许".

    Quidway(config)#firewalldefault permit

     

      五、ip access-group使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。

    ip access-grouplistnumber { in | out }

    [ no ] ipaccess-group listnumber { in | out }

      【参数说明】

    listnumber 为规则序号,是1~199之间的一个数值。

    in 表示规则用于过滤从接口收上来的报文。

    out 表示规则用于过滤从接口转发的报文。

      【缺省情况】

      没有规则应用于接口。

      【命令模式】

      接口配置模式。

      【使用指南】

      使用此命令来将规则应用到接口上; 如果要过滤从接口收上来的报文,则使用 in 关键字; 如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则; 这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中; 在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。

      【举例】

      将规则101应用于过滤从以太网口收上来的报文。

    Quidway(config-if-Ethernet0)#ipaccess-group 101 in

      【相关命令】

    access-list

     

      六、settr 设定或取消特殊时间段。

    settrbegin-time end-time

    no settr

      【参数说明】

    begin-time 为一个时间段的开始时间。

    end-time 为一个时间段的结束时间,应该大于开始时间。

      【缺省情况】

      系统缺省没有设置时间段,即认为全部为普通时间段。

      【命令模式】

      全局配置模式

      【使用指南】

      使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成"settr 21:00 23:59 0:00 8:00",因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。

      【举例】

      例1: 设置时间段为8:30 ~ 12:00,14:00 ~ 17:00.

    Quidway(config)#settr8:30 12:00 14:00 17:00

      例2: 设置时间段为晚上9点到早上8点。

    Quidway(config)#settr21:00 23:59 0:00 8:0

      【相关命令】

    timerange, show timerange

     

      七、showaccess-list 显示包过滤规则及在接口上的应用。

    showaccess-list [ all | listnumber | interface interface-name ]

      【参数说明】

    all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。

    listnumber 为显示当前所使用的规则中序号为listnumber的规则。

    interface 表示要显示在指定接口上应用的规则序号。

    interface-name 为接口的名称。

      【命令模式】

      特权用户模式

      【使用指南】

      使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。

      【举例】

      例1: 显示当前所使用的序号为100的规则。

    Quidway#showaccess-list 100

    Using normalpacket-filtering access rules now.

    100 deny icmp10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)

    100 permit icmp10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)

    100 deny udpany any eq rip (no matches -- rule 3)

      例2: 显示接口Serial0上应用规则的情况。

    Quidway#showaccess-list interface serial 0

    Serial0:

    access-listfiltering In-bound packets : 120

    access-listfiltering Out-bound packets: None

      【相关命令】

    access-list

     

      八、show firewall 显示防火墙状态。

    show firewall

      【命令模式】

      特权用户模式

      【使用指南】

      使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

      【举例】

      显示防火墙状态。

    Quidway#showfirewall

    Firewall isenable, default filtering method is 'permit'.

    TimeRangepacket-filtering enable.

    InBoundpackets: None;

    OutBoundpackets: 0 packets, 0 bytes, 0% permitted,

    0 packets, 0bytes, 0% denied,

    2 packets, 104bytes, 100% permitted defaultly,

    0 packets, 0bytes, 100% denied defaultly.

    From 00:13:02to 06:13:21: 0 packets, 0 bytes, permitted.

      【相关命令】

    Firewall

     

      九、show isintr 显示当前时间是否在时间段之内。

    show isintr

      【命令模式】

      特权用户模式

      【使用指南】

      使用此命令来显示当前时间是否在时间段之内。

      【举例】

      显示当前时间是否在时间段之内。

    Quidway#showisintr

    It is NOT intime ranges now.

      【相关命令】

    timerange, settr

     

      十、show timerange 显示时间段包过滤的信息。

    show timerange

      【命令模式】

      特权用户模式

      【使用指南】

      使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。

      【举例】

      显示时间段包过滤的信息。

    Quidway#showtimerange

    TimeRangepacket-filtering enable.

    beginning oftime range:

    01:00 - 02:00

    03:00 - 04:00

    end of timerange.

      【相关命令】

    timerange, settr

     

      十一、timerange 启用或禁止时间段包过滤功能。

    timerange {enable | disable }

      【参数说明】

    enable 表示启用时间段包过滤。

    disable 表示禁止采用时间段包过滤。

      【缺省情况】

      系统缺省为禁止时间段包过滤功能。

      【命令模式】

      全局配置模式

      【使用指南】

      使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。

      【举例】

      启用时间段包过滤功能。

    Quidway(config)#timerangeenable

      【相关命令】

    settr, showtimerange

     

    展开全文
  • cisco路由器基本命令配置 一·CISCO路由器简介 1.1 CISCO IOS操作环境。 有三种: ROM monitor > Failure of password recovery BootROM router(boot) > Flash image upgrade Cisco IOS router >...
  • Cisco路由器的安全配置方案 标签:cisco 配置 安全 路由器 方案 Cisco路由器的安全配置方案 Author: BluShin Auditor: Amy E-mail:Yangtonguang@163.net Version 1.0 ...
  • cisco 路由器访问权限的设置
  • 配置寄存器可用于以多种方式更改路由器行为,例如: 路由器如何启动(进入ROMmon,NetBoot) 引导时的选项(忽略配置,禁用引导消息) 控制台速度(终端仿真会话的波特率) 注意:如果波特率设置为不同于默认速率,...
  • 思科路由器基本联网配置

    千次阅读 2018-04-30 19:55:25
    工作以来也没有笔记的习惯,...现在感觉公司网络经过路由器后网速变慢,打算重新配置下。第一:配置外网接口IP地址easytouch(config)#int f0/0easytouch(config-if)#ip add 58.56.152.100 255.255.255.252easytouch(...
  • Cisco路由器的命令配置教程详解

    万次阅读 2014-06-29 11:35:53
    和普通计算机一样,路由器也需要一个操作系统,cisco把这个操作系统叫作cisco互联网络操作系统,也就是我们知道的IOS,所有cisco路由器的IOS都是一个嵌入式软件体系结构。 ciscoIOS软件提供以下网络服务: 基本的...
  • 包含了Cisco路由器的详细配置,包括路由器配置基础 、广域网协议设置、路由协议设置、服务质量及访问控制、虚拟局域网(VLAN )路由...
  • 小伙伴们大家好,本期我们来讲解大学科目网络工程钟的思科路由器中的路由静态配置实验! 首先我们先对静态路由简单的做些了解: (1)路由器属于网络层设备,能够根据IP包头的信息,选择一条最佳路径,将数据包转发...
  • 本文实例讲述了思科路由器静态路由配置实验。分享给大家供大家参考,具体如下:实验八 路由器静态路由配置一、实验目标掌握静态路由的配置方法和技巧;掌握通过静态路由方式实现网络的连通性;熟悉广域网线缆的链接...
  • Cisco路由器配置实例

    2012-07-27 14:04:16
    第一章 路由器配置基础 一、基本设置...二、交换机间链路(ISL)协议 三、虚拟局域网(VLAN)路由实例 附录一:Cisco路由器口令恢复 附录二:IP地址分配 附录三:Cisco 路由配置语句汇总 附录四:Cisco VPN连接配置实例
  • 路由器访问控制的安全配置 1.严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2.建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3.严格控制CON端口的...
  • cisco路由器配置

    2016-11-04 22:04:00
    cisco路由器配置的几个常用命令: Router>enable //进入特权模式 Router#conf t //进入配置模式 Router(config)#int fa0/0 //进入fa0/0端口 Router(config-if)#ip add 192.168.1.1 255.255.255.0 //给fa0/0
  • CISCO路由器配置手册

    2013-06-19 14:40:36
    CISCO路由器配置手册: 第一章 路由器配置基础 第二章 广域网协议设置 第三章 路由协议设置 第四章 服务质量及访问控制 第五章 虚拟局域网(VLAN)路由 第六章 参考
  • 思科路由器配置讲述,路由器配置基础,广域网协议设置,路由协议设置,服务质量及访问控制,虚拟局域网路由等的介绍。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 19,857
精华内容 7,942
关键字:

思科路由器访问控制配置