全部分类

搜索资料

首页 cisco网络设备安全加固手册

cisco网络设备安全加固手册

举报

开通vip

cisco网络设备安全加固手册对网络设备的管理权限进行划分和限制，将登录口令密帐号权文保存在配置文件限加固中，确保系统帐号口令长度和复杂度满足安全要求,避免使用弱口令1、加强用户认证，对网络设备的管理权限进行划分和限制2、修改帐号存在的弱口令（包括SNMP社区串），设置网络系统的口令长度>8位3、禁用不需要的用户4、对口令进行加密存储1、Central(config)#usernamebrianprivilege5passwordg00d+pa55w0rdCentral(config)#linecon0Centra...

cisco网络设备安全加固手册

对网络设备的管理权限进行划分和限制，将登录口令密帐号权文保存在配置文件限加固中，确保系统帐号口令长度和复杂度满足安全要求,避免使用弱口令1、加强用户认证，对网络设备的管理权限进行划分和限制2、修改帐号存在的弱口令（包括SNMP社区串），设置网络系统的口令长度>8位3、禁用不需要的用户4、对口令进行加密存储1、Central(config)#usernamebrianprivilege5passwordg00d+pa55w0rdCentral(config)#linecon0Central(config-line)#loginlocalCentral(config-line)#endenablesecretlevel5privilegeexeclevel15showlogging2、passwordEnablesecSnmp-servercommunity3、nousernameservicepassword-encryption;例外：SNMPcommunitystrings、RADIUSkeys、TACACS+keys1、禁用httpserver，或者对httpserver进行访问控制关闭网络设备中不安全的服务，确保网络设网络服备只开务加固启承载业务所必需的网络服务1.Central(config)#noiphttpserverSetupusernamesandpasswordsCreateandapplyanIPaccesslisttolimitaccesstothewebserver.ConfigureandenablesyslogloggingSample:Central(config)#!Addwebadminusers,thenturnonhttpauthCentral(config)#usernamenzWebpriv15password0C5-A1rCarg0Central(config)#iphttpauthlocalCentral(config)#!CreateanIPaccesslistforwebaccessCentral(config)#noaccess-list29Central(config)#access-list29permithost14.2.6.18logCentral(config)#access-list29permit14.2.9.00.0.0.255logCentral(config)#access-list29denyanylogCentral(config)#!ApplytheaccesslistthenstarttheserverCentral(config)#iphttpaccess-class29Central(config)#iphttpserver2、关闭不必要的SNMP服务，若Central(config)#exit必须使用，应采用SNMPv3以?Explicitlyunset(erase)allexistingcommunitystrings.上版本并启用身份验证、更?DisableSNMPsystemshutdownandtrapfeatures.改默认社区串?DisableSNMPsystemprocessing.Central(config)#!eraseoldcommunitystringsCentral(config)#nosnmp-servercommunitypublicROCentral(config)#nosnmp-servercommunityadminRWCentral(config)#Central(config)#!disableSNMPtrapandsystem-shutdownfeaturesCentral(config)#nosnmp-serverenabletrapsCentral(config)#nosnmp-serversystem-shutdownCentral(config)#nosnmp-servertrap-authCentral(config)#Central(config)#!disabletheSNMPserviceCentral(config)#nosnmp-serverCentral(config)#endEast(config)#access-list20permit14.2.6.6East(config)#snmp-servergroupadministratorv3authreadadminviewwriteadminviewEast(config)#snmp-serveruserrootadministratorv3authmd5“secret”access20East(config)#snmp-serverviewadminviewinternetincludedEast(config)#snmp-serverviewadminviewip.ipAddrTableexclEast(config)#snmp-serverviewadminviewip.ipRouteTableexclEast(config)#exit3、禁用与承载业务无关的服务（例如dhcp-relay、IGMP、CDPRUN、bootp服务等）3.nocdprunNoservicedhcpNoipbootpserver停掉tcp、udpsmallservers，类似echo、daytime、chargen、discard等；noservicetcp-small-serversnoserviceudp-small-serversnoservicefingernoiphttpserver远程控制有安全机网络访制保证，限制能够问控制访问本机的用户或加固IP地址1、对可管理配置网络设备的网South(config)#noaccess-list92段通过访问控制列表进行限South(config)#access-list92permit14.2.10.1制South(config)#access-list92permit14.2.9.1South(config)#linevty04South(config-line)#access-class92in2、使用SSH等安全方式登录用TELNET方式,禁North(config)#noaccess-list12North(config)#access-list12permithost14.2.9.1logNorth(config)#linevty04North(config-line)#access-class12inNorth(config)#usernamejoeadminpassword01-g00d-pa$$wordNorth(config)#linevty04North(config-line)#loginlocalNorth(config-line)#exitNorth(config)#hostnorthNorth(config)#ipdomain-namedod.milNorth(config)#cryptokeygeneratersaThenameforthekeyswillbe:North.dod.milChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:2048GeneratingRSAKeys...[OK]North(config)#Ifthiscommandsucceeds,theSSHserverisenabledandrunning.Bydefault,theSSHservicewillbepresentonthe3、对SNMP进行ACL控制配置网络设备的安4.审计策1、为网络设备指定日志服务器全审计略加固功能，设置日志缓2、合理配置日志缓冲区大小routerwheneveranRSAkeypairexists,butitwillnotbeuseduntilyouconfigureit,asdetailedbelow.Ifyoudeletetherouter’sRSAkeypair,thentheSSHserverwillstop.cryptokeyzeroizersa.North(config)#ipsshtime-out90North(config)#ipsshauthentication-retries2North(config)#linevty04North(config-line)#transportinputsshNorth(config-line)#exitNorth(config)#linevty515North(config-line)#transportinputnoneNorth(config-line)#exitsnmp-servercommunitypublicrosnmp-servercommunityourCommStrrosnmp-servercommunitytopsecretrw60snmp-servercommunityhideitroviewnoRouteTableaccess-list60permit10.1.1.1access-list60permit10.2.2.2snmp-serverviewnoRouteTableinternetincludedsnmp-serverviewnoRouteTableip.21excludedsnmp-serverviewnoRouteTableip.22excludedsnmp-serverviewnoRouteTableifMIBexcludedCentral(config)#loggingonCentral(config)#logging14.2.9.1Central(config)#loggingbuffered16000存大小，指定日志服务器配置访问控制策，对蠕虫1、屏蔽病毒常用的网络端口5.恶意代端口进行屏蔽，关、使用TCPkeepalives服务以闭不安2杀死僵连接码防范全的服务避免被入3、禁止IP源路由功能侵者利用Central(config)#loggingconsolecriticalCentral(config)#loggingtrapinformationalCentral(config)#loggingfacilitylocal1ACLservicetcp-keepalives-in.3.noipsource-routeRouterSecurityChecklistThissecuritychecklistisdesignedtohelpyoureviewyourroutersecurityconfiguration,andremindyouofanysecurityareayoumighthavemissed.?Routersecuritypolicywritten,approved,distributed.?RouterIOSversioncheckedanduptodate.?Routerconfigurationkeptoff-line,backedup,accesstoitlimited.?Routerconfigurationiswell-documented,commented.?Routerusersandpasswordsconfiguredandmaintained.?Passwordencryptioninuse,enablesecretinuse.?Enablesecretdifficulttoguess,knowledgeofitstrictlylimited.(ifnot,changetheenablesecretimmediately)?AccessrestrictionsimposedonConsole,Aux,VTYs.?Unneedednetworkserversandfacilitiesdisabled.?Necessarynetworkservicesconfiguredcorrectly(e.g.DNS)?UnusedinterfacesandVTYsshutdownordisabled.?Riskyinterfaceservicesdisabled.?Portandprotocolneedsofthenetworkidentifiedandchecked.?Accesslistslimittraffictoidentifiedportsandprotocols.?Accesslistsblockreservedandinappropriateaddresses.?Staticroutesconfiguredwherenecessary.?Routingprotocolsconfiguredtouseintegritymechanisms.?Loggingenabledandlogrecipienthostsidentifiedandconfigured.?Router’stimeofdaysetaccurately,maintainedwithNTP.?Loggingsettoincludeconsistenttimeinformation.?Logschecked,reviewed,archivedinaccordancewithlocalpolicy.?SNMPdisabledorenabledwithgoodcommunitystringsandACLs.

                    本文档为【cisco网络设备安全加固手册】，请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑，
                    图片更改请在作品中右键图片并更换，文字修改请直接点击文字进行修改，也可以新增和删除文档中的内容。 
 该文档来自用户分享，如有侵权行为请发邮件ishare@vip.sina.com联系网站客服，我们会及时删除。

                    [版权声明] 本站所有资料为用户分享产生，若发现您的权利被侵害，请联系客服邮件isharekefu@iask.cn，我们尽快处理。

                    本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权，请谨慎使用。

                    网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传，仅限个人学习分享使用，禁止用于任何广告和商用目的。
                

下载需要：￥13.0 已有0 人下载

立即下载

你可能还喜欢

最新资料

资料动态

专题动态

is_916672

暂无简介~

格式：doc

大小：373KB

软件：Word

页数：0

分类：

上传时间：2021-10-06

浏览量：18

热点搜索

城市网约车系统的分析与设计程翔课堂实录我要我的自由(林熙)-简谱-吉他谱-钢琴谱-电子琴谱-手风琴谱-二胡谱-笛萧谱-萨克斯谱-古筝谱-歌词最美的馈赠优秀作文600字国家开放大学电大《经济法律基础》案例分析题题库及答案河南省预防接种门诊考核验收标准一对一辅导班,广告词 (3页) 《小熊长大了》计算流体力学附录F 有限体积法计算方腔流(F) 高考物理一轮复习 3.5实验探究a与F、m关系教学案老师_初二议论文作文700字乃缦家的小侍女李宁企业文化赤壁赋原文对照翻译城市网约车系统的分析与设计程翔课堂实录我要我的自由(林熙)-简谱-吉他谱-钢琴谱-电子琴谱-手风琴谱-二胡谱-笛萧谱-萨克斯谱-古筝谱-歌词最美的馈赠优秀作文600字国家开放大学电大《经济法律基础》案例分析题题库及答案河南省预防接种门诊考核验收标准一对一辅导班,广告词 (3页) 《小熊长大了》计算流体力学附录F 有限体积法计算方腔流(F) 高考物理一轮复习 3.5实验探究a与F、m关系教学案老师_初二议论文作文700字乃缦家的小侍女李宁企业文化赤壁赋原文对照翻译