XX科技公司的边界路由器上有3个网络接口,分别是:Ethernet0/0、 Ethernet0/1 、Serial0/0。在排查物理安全隐患之后,网络安全工程师升级了IOS的版本,修复了一些严重的漏洞。并根据前面的安全技术分析,手工加固路由器安全的步骤如下:(为了避免安全信息泄露分析,下面略去了XX科技公司的部分真实信息和IP地址配置部分)。
(一)配置密码项
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#enable password xxxxxxxx
Router(config)# line console 0
Router(config-line)# login
Router(config-line)# password xxxxxxxx
Router(config)# line aux 0
Router(config-line)# login
Router(config-line)# password xxxxxxxx
Router(config-line)#exit
Router(config)#enable sercret xxxxxxxx
Router(config) # service password-encryption
(二)关闭全局服务项
Router(config)# no cdp run
Router(config)# no service tcp-small-servers
Router(config)# no service udp-small-servers
Router(config)# no ip finger
Router(config)# no ip identd
Router(config)# no service finger
Router(config)# no ip source-route
Router(config)# no ftp-server enable
Router(config)# no ip http server
Router(config)# no ip http secure-server
Router(config)# no snmp-server community public RO
Router(config)# no snmp-server community private RW
Router(config)# no snmp-server enable traps
Router(config)# no snmp-server system-shutdown
Router(config)# no snmp-server trap-auth
Router(config)# no snmp-server
Router(config)# no ip domain-lookup
Router(config)# no ip bootp server
Router(config)# no service dhcp
Router(config)# no service pad
Router(config)# no boot network
Router(config)# no service config
(三)关闭接口服务
Router(config)# interface Serial0/0
Router(config-if)# no ip proxy-arp
Router(config-if)# no ip directed-broadcast
Router(config-if)# no ip unreachable
Router(config-if)# no ip redirect
Router(config-if)# no ip mask-reply
Router(config-if)# exit
Router(config)# interface ethernet 0
Router(config-if)# no ip proxy-arp
Router(config-if)# no ip directed-broadcast
Router(config-if)# no ip unreachable
Router(config-if)# no ip redirect
Router(config-if)# no ip mask-reply
Router(config)# interface ethernet 1
Router(config-if)#shutdown
Router(config-if)# exit
(四)远程管理安全
Router(config)# service tcp-keepalives-in
Router(config)# service tcp-keepalives-out
Router(config)# username xxxxxxxx privilege 15 secret xxxxxxxx
Router(config)# hostname DaYuan
DaYuan(config)# ip domain-name Dayuansc.com
DaYuan(config)# crypto key generate rsa
DaYuan(config)# line vty 0 4
DaYuan(config-line)# login local
DaYuan(config-line)# transport input ssh
DaYuan(config-line)# transport output ssh

文章如转载,请注明转载自:http://www.5iadmin.com/post/865.html