文档介绍:Cisco 安全配置一、路由器网络服务安全配置 1 禁止 CDP(Cisco Discovery Protocol) 。如: Router(Config)#no cdp run Router(Config-if)# no cdp enable 2 禁止其他的 TCP 、 UDP Small 服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3 禁止 Finger 服务。 Router(Config)# no ip finger Router(Config)# no service finger 4 建议禁止 HTTP 服务。 Router(Config)# no ip http server 如果启用了 HTTP 服务则需要对其进行安全配置: 设置用户名和密码; 采用访问列表进行控制。 5 禁止 BOOTp 服务。 Router(Config)# no ip bootp server 6 禁止 IP Source Routing 。 Router(Config)# no ip source-route 7 建议如果不需要 ARP-Proxy 服务则禁止它,路由器默认识开启的。 Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp 8 禁止 IP Directed Broadcast 。 Router(Config)# no ip directed-broadcast 9 禁止 IP Classless 。 Router(Config)# no ip classless 10 禁止 ICMP 协议的 IP Unreachables, Redirects, Mask Replies 。 Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply 11 建议禁止 SNMP 协议服务。在禁止时必须删除一些 SNMP 服务的默认配置。如: Router(Config)# no snmp-munity public Ro Router(Config)# no snmp-munity admin RW 12 如果没必要则禁止 WINS 和 DNS 服务。 Router(Config)# no ip domain-lookup 如果需要则需要配置: Router(Config)# hostname Router Router(Config)# ip name-server 13 明确禁止不使用的端口。如: Router(Config)# interface eth0/3 Router(Config)# shutdown</P><P> 二、路由器访问控制的安全配置(可选) 路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。 1 建议不要远程访问路由器。即使需要远程访问路由器, 建议使用访问控制列表和高强度的密码控制。 2