Cisco路由器交换机的常规安全配置模版.docx

Cisco路由器交换机的常规安全配置模版.docx

《Cisco路由器交换机的常规安全配置模版.docx》由会员分享，可在线阅读，更多相关《Cisco路由器交换机的常规安全配置模版.docx（10页珍藏版）》请在冰豆网上搜索。

Cisco路由器交换机的常规安全配置模版

Cisco路由器和交换机的安全配置模板

一、设备命名规范

为统一网络设备命名，方便今后网络项目实施和运维管理，拟对网络设备进行统一命名，详细命名规则如下：

设备名称组成部分

网络系统中具体一台设备的命名由如下五个部分组成：

Hostname:

AABBCCDDEE

AA：

表示各分行的地区名称简写，如：

上海：

SH

BB：

表示功能区域名称

CC：

表示设备所在的网络层次

DD：

表示设备类型

EE：

表示设备的序列号，01表示第一台，02为第二台。

设备名称中的英文字母全部采用大写，各部分之间使用下划线连接。

每个字母具体范围如下：

各分行地区名称如下表示（AA）：

序号

分行名称

标识

1

北京

BJ

2

上海

SH

3

…

…

功能区域或地域名称规则表如下所示（BB）：

序号

命名名称

区域描述

1

CORE

核心区（CoreZone）

2

ADM

安全管理区（AdminZone）

3

SRV

服务器区（ServerZone）

5

HQ

总部（HQZone）

6

BR

分支（BZone）

9

EXT

外联区（Ext_ConnZone）

10

CLT

用户接入区（CLTZone

12

TEST

测试区（TEST_Zone）

13

…

…

网络设备所在层命名规则表如下所示（CC）：

序号

命名名称

层次描述

1

COR

核心层

2

DIS

汇聚层

3

ACC

接入层

4

…

…

网络设备类型命名规则表如下所示（DD）：

序号

命名名称

设备描述

1

SW

交换机

2

RT

路由器

3

FW

防火墙

4

IDS/IPS

入侵检测

5

AP

AP接入点

6

CONTR

无线控制器

网络设备序列号编号规则表如下所示（EE）：

序号

命名名称

编号描述

1

01

同一区域同一应用系统第１台设备

2

02

同一区域同一应用系统第２台设备

二、路由器配置

一,路由器访问控制的安全配置

1,严格控制可以访问路由器的管理员。

任何一次维护都需要记录备案。

2,建议不要远程访问路由器。

即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。

3,严格控制CON端口的访问。

具体的措施有：

A,如果可以开机箱的，则可以切断与CON口互联的物理线路。

B,可以改变默认的连接属性，例如修改波特率（默认是96000，可以改为其他的）。

C,配合使用访问控制列表控制对CON口的访问。

如：

Router（Config）#Access-list1permit192.168.0.1

Router（Config）#linecon0

Router（Config-line）#Transportinputnone

Router（Config-line）#Loginlocal

Router（Config-line）#Exec-timeoute50

Router（Config-line）#access-class1in

Router（Config-line）#end

D,给CON口设置高强度的密码。

4,如果不使用AUX端口，则禁止这个端口。

默认是未被启用。

禁止如：

Router（Config）#lineaux0

Router（Config-line）#transportinputnone

Router（Config-line）#noexec

5,建议采用权限分级策略。

如：

Router（Config）#usernamelanstarprivilege10lanstar

Router（Config）#privilegeEXEClevel10telnet

Router（Config）#privilegeEXEClevel10showipaccess-list

6,为特权模式的进入设置强壮的密码。

不要采用enablepassword设置密码。

而要采用enablesecret命令设置。

并且要启用Servicepassword-encryption。

7,控制对VTY的访问。

如果不需要远程访问则禁止它。

如果需要则一定要设置强壮的密码。

由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。

如：

设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。

8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。

如：

Router（Config）#ipftpusernamelanstar

Router（Config）#ipftppasswordlanstar

Router#copystartup-configftp:

9,及时的升级和修补IOS软件。

二,路由器网络服务安全配置

1,禁止CDP（CiscoDiscoveryProtocol）。

如：

Router（Config）#nocdprun

Router（Config-if）#nocdpenable

2,禁止其他的TCP、UDPSmall服务。

Router（Config）#noservicetcp-small-servers

Router（Config）#noserviceudp-samll-servers

3,禁止Finger服务。

Router（Config）#noipfinger

Router（Config）#noservicefinger

4,建议禁止HTTP服务。

Router（Config）#noiphttpserver

如果启用了HTTP服务则需要对其进行安全配置：

设置用户名和密码；采用访问列表进行控制。

如：

Router（Config）#usernamelanstarprivilege10lanstar

Router（Config）#iphttpauthlocal

Router（Config）#noaccess-list10

Router（Config）#access-list10permit192.168.0.1

Router（Config）#access-list10denyany

Router（Config）#iphttpaccess-class10

Router（Config）#iphttpserver

Router（Config）#exit

5,禁止BOOTp服务。

Router（Config）#noipbootpserver

禁止从网络启动和自动从网络下载初始配置文件。

Router（Config）#nobootnetwork

Router（Config）#noservicconfig

6,禁止IPSourceRouting。

Router（Config）#noipsource-route

7,建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。

Router（Config）#noipproxy-arp

Router（Config-if）#noipproxy-arp

8,明确的禁止IPDirectedBroadcast。

Router（Config）#noipdirected-broadcast

9,禁止IPClassless。

Router（Config）#noipclassless

10,禁止ICMP协议的IPUnreachables,Redirects,MaskReplies。

Router（Config-if）#noipunreacheables

Router（Config-if）#noipredirects

Router（Config-if）#noipmask-reply

11,建议禁止SNMP协议服务。

在禁止时必须删除一些SNMP服务的默认配置。

或者需要访问列表来过滤。

如：

Router（Config）#nosnmp-servercommunitypublicRo

Router（Config）#nosnmp-servercommunityadminRW

Router（Config）#noaccess-list70

Router（Config）#access-list70denyany

Router（Config）#snmp-servercommunityMoreHardPublicRo70

Router（Config）#nosnmp-serverenabletraps

Router（Config）#nosnmp-serversystem-shutdown

Router（Config）#nosnmp-servertrap-anth

Router（Config）#nosnmp-server

Router（Config）#end

12,如果没必要则禁止WINS和DNS服务。

Router（Config）#noipdomain-lookup

如果需要则需要配置：

Router（Config）#hostnameRouter

Router（Config）#ipname-server202.96.209.5

13,明确禁止不使用的端口。

Router（Config）#interfaceeth0/3

Router（Config）#shutdown

三,路由器路由协议安全配置

1,首先禁止默认启用的ARP-Proxy，它容易引起路由表的混乱。

Router（Config）#noipproxy-arp或者

Router（Config-if）#noipproxy-arp

2,启用OSPF路由协议的认证。

默认的OSPF认证密码是明文传输的，建议启用MD5认证。

并设置一定强度密钥（key,相对的路由器必须有相同的Key）。

Router（Config）#routerospf100

Router（Config-router）#network192.168.100.00.0.0.255area100

!

启用MD5认证。

!

areaarea-idauthentication启用认证，是明文密码认证。

！

areaarea-idauthenticationmessage-digest

Router（Config-router）#area100authenticationmessage-digest

Router（Config）#exit

Router（Config）#interfaceeth0/1

！

启用MD5密钥Key为routerospfkey。

！

ipospfauthentication-keykey启用认证密钥，但会是明文传输。

！

ipospfmessage-digest-keykey-id（1-255）md5key

Router（Config-if）#ipospfmessage-digest-key1md5routerospfkey

3,RIP协议的认证。

只有RIP-V2支持，RIP-1不支持。

建议启用RIP-V2。

并且采用MD5认证。

普通认证同样是明文传输的。

Router（Config）#configterminal

!

启用设置密钥链

Router（Config）#keychainmykeychainname

Router（Config-keychain）#key1

！

设置密钥字串

Router（Config-leychain-key）#key-stringMyFirstKeyString

Router（Config-keyschain）#key2

Router（Config-keychain-key）#key-stringMySecondKeyString

！

启用RIP-V2

Router（Config）#routerrip

Router（Config-router）#version2

Router（Config-router）#network192.168.100.0

Router（Config）#interfaceeth0/1

!

采用MD5模式认证，并选择已配置的密钥链

Router（Config-if）#ipripauthenticationmodemd5

Router（Config-if）#ipripanthenticationkey-chainmykeychainname

4,启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。

建议对于不需要路由的端口，启用passive-interface。

但是，在RIP协议是只是禁止转发路由信息，并没有禁止接收。

在OSPF协议中是禁止转发和接收路由信息。

!

Rip中，禁止端口0/3转发路由信息

Router（Config）#routerRip

Router（Config-router）#passive-interfaceeth0/3

！

OSPF中，禁止端口0/3接收和转发路由信息

Router（Config）#routerospf100

Router（Config-router）#passive-interfaceeth0/3

5,启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。

Router（Config）#access-list10deny192.168.1.00.0.0.255

Router（Config）#access-list10permitany

!

禁止路由器接收更新192.168.1.0网络的路由信息

Router（Config）#routerospf100

Router（Config-router）#distribute-list10in

！

禁止路由器转发传播192.168.1.0网络的路由信息

Router（Config）#routerospf100

Router（Config-router）#distribute-list10out

6,建议启用IPUnicastReverse-PathVerification。

它能够检查源IP地址的准确性，从而可以防止一定的IPSpooling。

但是它只能在启用CEF（CiscoExpressForwarding）的路由器上使用。

Router#configt

!

启用CEF

Router（Config）#ipcef

！

启用UnicastReverse-PathVerification

Router（Config）#interfaceeth0/1

Router（Config）#ipverifyunicastreverse-path

四,路由器审核安全配置

五,路由器其他安全配置

1,及时的升级IOS软件，并且要迅速的为IOS安装补丁。

2,要严格认真的为IOS作安全备份。

3,要为路由器的配置文件作安全备份。

4,购买UPS设备，或者至少要有冗余电源。

5,要有完备的路由器的安全访问和维护记录日志。

6,要严格设置登录Banner。

必须包含非授权用户禁止登录的字样。

7,IP欺骗得简单防护。

如过滤非公有地址访问内部网络。

过滤自己内部网络地址；回环地址（127.0.0.0/8）；RFC1918私有地址；DHCP自定义地址（169.254.0.0/16）；科学文档作者测试用地址（192.0.2.0/24）；不用的组播地址（224.0.0.0/4）；SUN公司的古老的测试地址（20.20.20.0/24;204.152.64.0/23）；全网络地址（0.0.0.0/8）。

Router（Config）#access-list100denyip192.168.0.00.0.0.255anylog

Router（Config）#access-list100denyip127.0.0.00.255.255.255anylog

Router（Config）#access-list100denyip192.168.0.00.0.255.255anylog

Router（Config）#access-list100denyip172.16.0.00.15.255.255anylog

Router（Config）#access-list100denyip10.0.0.00.255.255.255anylog

Router（Config）#access-list100denyip169.254.0.00.0.255.255anylog

Router（Config）#access-list100denyip192.0.2.00.0.0.255anylog

Router（Config）#access-list100denyip224.0.0.015.255.255.255any

Router（Config）#access-list100denyip20.20.20.00.0.0.255anylog

Router（Config）#access-list100denyip204.152.64.00.0.2.255anylog

Router（Config）#access-list100denyip0.0.0.00.255.255.255anylog

8,建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。

如：

Router（Config）#noaccess-list101

Router（Config）#access-list101permitip192.168.0.00.0.0.255any

Router（Config）#access-list101denyipanyanylog

Router（Config）#interfaceeth0/1

Router（Config-if）#description“internetEthernet”

Router（Config-if）#ipaddress192.168.0.254255.255.255.0

Router（Config-if）#ipaccess-group101in

9,TCPSYN的防范。

如：

A:

通过访问列表防范。

Router（Config）#noaccess-list106

Router（Config）#access-list106permittcpany192.168.0.00.0.0.255established

Router（Config）#access-list106denyipanyanylog

Router（Config）#interfaceeth0/2

Router（Config-if）#description“externalEthernet”

Router（Config-if）#ipaddress192.168.1.254255.255.255.0

Router（Config-if）#ipaccess-group106in

B：

通过TCP截获防范。

（这会给路由器产生一定负载）

Router（Config）#iptcpinterceptlist107

Router（Config）#access-list107permittcpany192.168.0.00.0.0.255

Router（Config）#access-list107denyipanyanylog

Router（Config）#interfaceeth0

Router（Config）#ipaccess-group107in

10,LAND.C进攻的防范。

Router（Config）#access-list107denyiphost192.168.1.254host192.168.1.254log

Router（Config）#access-listpermitipanyany

Router（Config）#interfaceeth0/2

Router（Config-if）#ipaddress192.168.1.254255.255.255.0

Router（Config-if）#ipaccess-group107in

11,Smurf进攻的防范。

Router（Config）#access-list108denyipanyhost192.168.1.255log

Router（Config）#access-list108denyipanyhost192.168.1.0log

12,ICMP协议的安全配置。

对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Maskrequest。

也需要禁止TraceRoute命令的探测。

对于流出的ICMP流，我们可以允许ECHO、ParameterProblem、Packettoobig。

还有TraceRoute命令的使用。

!

outboundICMPControl

Router（Config）#access-list110denyicmpanyanyecholog

Router（Config）#access-list110denyicmpanyanyredirectlog

Router（Config）#access-list110denyicmpanyanymask-requestlog

Router（Config）#access-list110permiticmpanyany

!

InboundICMPControl

Router（Config）#access-list111permiticmpanyanyecho

Router（Config）#access-list111permiticmpanyanyParameter-problem

Router（Config）#access-list111permiticmpanyanypacket-too-big

Router（Config）#access-list111permiticmpanyanysource-quench

Router（Config）#access-list111denyicmpanyanylog

!

OutboundTraceRouteControl

Rout