众所周知,路由器是网络中的核心设备,它的安全与否直接决定着网络的安全,当前大多数路由器支持的配置方式有TELNET、TFTP、FTP、HTTP、SNMP、Console、Aux等。
产生安全隐患的原因很多,比如:Telnet信息为明文,HTTP存在漏洞,Console口,SNMP协议缺省设置,这些都会给网络带来安全隐患。常见的症状为:直接侵入到系统内部或远程攻击使路由器崩溃或是运行效率显著下降。
针对设备安全防护
我们可以对症下药,采取一些措施:
1、及时下载新IOS。一般的在路由器厂商的官方网站都有提供,可以及时下载更新。
2、应用强密码策略,关闭基于Web的配置,如下路由器显示:
Router(config)#service password-encryption
Router(config)#enable secret benet
Router(config)#no ip http server
3、 利用ACL禁止Ping相关接口,关闭CDP,,如下路由器显示:
Router(config)# access-list 101 deny icmp any 192.168.2.1 0.0.0.255 echo
Router(config)# access-list 101 permit any any
Router(config-if)# ip access group 101 out
Router(config)# no cdp run
Router(config-if)# no cdp enable
4、 查看配置信息,禁止不必要的服务,如下路由器显示:
Router(config)# show configuration
Router(config)# show running-config
Router(config)# no ip domain-lookup
Router(config)# no ip bootp server
Router(config)# no snmp-server
Router(config)# no snmp-server community public RO
Router(config)# no snmp-server community admin RW
出处:http://www.cnking.org/post/736.html