Cisco IOS 的新手,如何提高此配置的安全性?

网络工程 思科 纳特 防火墙 安全
2021-07-24 07:12:45

我是 IOS 的新手,我一直在 Packet Tracer 中构建配置文件。我仍然需要设置 NAT,因为我必须考虑几个流媒体。那么,我应该怎么做来配置这个路由器的安全部分?此配置是否使路由器保持开放状态?型号是 891F ISR,但我也会配置一些 881 路由器。

!
    hostname xxxxxxx
    !
    !
    !
    enable password secret xxxxxxxx
    !
    !
    ip dhcp excluded-address 192.168.1.1
    !
    ip dhcp pool LAN
     network 192.168.1.0 255.255.255.0
     default-router 192.168.1.1
     dns-server 8.8.8.8
    !
    !
    !
    username xxx privilege 15 password 0 xxxxxxxxxxx
    !
    !
    !
    !
    !
    ip ssh version 1
    ip domain-name cisco.com
    ip name-server 192.168.1.2
    !
    !
    spanning-tree mode pvst
    !
    !
    !
    !
    interface FastEthernet0/0
     description ISP connection
     ip address xxx.xxx.xxx.xxx 255.255.255.0
     duplex auto
     speed auto
    !
    interface FastEthernet0/1
     no ip address
     duplex auto
     speed auto
     shutdown
    !
    interface FastEthernet0/1/0
     switchport mode access
     spanning-tree portfast
    !
    interface FastEthernet0/1/1
     switchport mode access
     spanning-tree portfast
    !
    interface FastEthernet0/1/2
     switchport mode access
     spanning-tree portfast
    !
    interface FastEthernet0/1/3
     switchport mode access
     spanning-tree portfast
    !
    interface Vlan1
     ip address 192.168.1.1 255.255.255.0
    !
    ip classless
    ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
    !
    !
    !
    banner motd ^CThis router is private property and may not be accessed without permission of the owner^C
    !
    !
    !
    !
    line con 0
     exec-timeout 0 0
     password xxxxxxxx
     logging synchronous
     login local
    line vty 0 4
     exec-timeout 0 0
     password xxxxxxx
     logging synchronous
     login local
    line vty 5 15
     exec-timeout 0 0
     password xxxxxxxxxxx
     logging synchronous
     login local
    !
    !
    !
    end
4个回答

我参加了很多国防部网络设备的认证,所有 DoD 设备都必须遵守安全技术实施指南 (STIG)。它们是一个列表,通常按设备类型排序,然后按供应商要遵循的标准排序,以便为网络设备提供安全和深度防御。

我会从 DISA 站点下载 STIG 查看器,然后为您的设备选择正确的 STIG,然后开始一一查看。这就是我的公司为他们在 DoD 网络上实施的所有设备所做的。此外,我们必须提取所有配置并将它们发送给授权我们连接并让它们在 DoD 网络上运行的认证机构。像这样的安全性可能有点矫枉过正,但它会为您提供一些很好的实施指南。

这是网络设备 STIGS 的链接:

http://iase.disa.mil/stigs/net_perimeter/network-infrastructure/Pages/firewall.aspx

特别是标记为:“网络防火墙 STIG - 第 8 版,第 19 版

它将是一个 zip 文件,其中包含供应商特定指南以及具有通用指南的通用文件。

祝你好运。

在这个领域有很多话要说。我想在安迪回答以下思科提供的指导方针

关于配置本身,好吧,你可以在线改进ACL,服务密码加密,禁用http等未使用的服务等。

您可以做的另一件事是更改 ssh 配置:

你需要改变你的

ip ssh version

从 1 到 2,为了提高您的安全性,ssh 版本 1 是旧配置

只需几件事即可让您入门。

路由器 MGMT 安全

  • “服务密码加密”用于“密码”的纯文本加密。
  • “IP SSH 版本 2”。
  • “无 CDP 运行”命令。
  • VTY 端口上的“传输输入 ssh”。
  • VTY 端口上的访问类命令(带有关联的 ACL)。

路由器网络安全

  • 接口端口上没有 IP 重定向/没有 ip unreachables/没有 ip proxy-arp。
其它你可能感兴趣的问题
上一篇光数据传输 下一篇公共和内部 IP 地址之间的延迟差异