文档介绍:IOS login安全
ﻫ一、ﻫIOS安全特性
Stateful firewallﻫIntrusion prevention systemﻫVpn routing and forwarding-aware(vrf-aware)firewallﻫVirtual private nerworksﻫ二、ﻫISR的增强特性,它能够支持以下特点:ﻫIntegrated vpn acceleration
Dedicated voice hardware
Advanced integration modulesﻫUsb portﻫ同时,ISR还支持的其他扩展模块ﻫWan connectivity network modules(广域网模块)ﻫCisco HWIC-AP(无线模块)
Cisco IDS network module(硬件IPS模块)ﻫCisco content engineg ( web cache )ﻫAnalysis module(网络分析模块)
三、
路由器登陆管理方式
Console 直接通过终端连接(常用)
Aus 通过电话网络,拨到modem,然后反向telnet到router进行远程网管(少用)
Vty 通过虚拟终端telnet 远程网管
四、ﻫCisco对密码的建议ﻫ密码最短长度为10个字符ﻫ复杂性要求
密码不能在字典中找打ﻫ周期性更新密码ﻫ五、ﻫ三种密码类型以及相关配置命令ﻫEnable secret (MD5 hash不可逆加密技术)
Enable password (向前兼容,可能版本太旧了,无法支持MD5加密技术)
Vty password (telnet or ssh connection)ﻫservice password-encryption (思科私有算法,实现enable password的乱码加密,但是不安全,很容易破解的,它只是防止别人在旁边偷看到密码而已)ﻫNo service password-recovery(做密码恢复的时候配置全部丢失,无法找到原先的所有配置,所以这个命令建议大家不要使用)ﻫ本地用户名数据库配置---usename xxx password/secret xxxﻫ最短密码长度限制---security passwords min-length 6 (至少配置6个密码字符)ﻫ设置登陆超时时间---exec-timeout 2 30 (表示2分30秒不动就自动跳出来)ﻫ六、
privilege命令介绍ﻫcisco 级别介绍---总共有0~15级(16个级别),分为三个部分;第一部分为0级(包含5个命令)、第二部分为1级(包含40多个命令)、第三部分为2~15级(包含N个命令)ﻫprivilege命令作用和特点----把命令从一个级别抠出来送到另外一个级别
privilege配置实例---举个例子
1)clear line 1(清除线路1,把别人踢出去,结果显示你敲的命令无效,要知道,清线的命令是15级的,现在你得把这个命令抠出来放到1级的位置,那么你在1级的位置,也就是用户模式下就可以使命令生效了)ﻫ2)privilege exec level 1 clear line (意思是把clear line这个15级别的命令抠出来放到1级的位置,那么你在1