科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道应用软件Cisco安全技术系列之二:IOS设备安全管理

Cisco安全技术系列之二:IOS设备安全管理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Cisco安全技术系列之二:IOS设备安全管理

作者:ddvip 来源:ddvip 2009年12月31日

关键字: 思科 路由器

  • 评论
  • 分享微博
  • 分享邮件

Cisco安全技术系列之二:IOS设备安全管理

 

 Cisco IOS 设备的安全加固包括了管理层面、控制层面和数据层面的三方面的内容,管理层面指通过SSH或SNMP对设备的管理,控制层面指路由协议IGP以及BGP的管理,数据层面指用户的正常数据通讯,下面主要介绍一下管理层面的安全技术。

  1、  管理层面

  密码管理:

service password-encryption        //启用密码加密服务
username cisco secret cisco         //MD5加密用户密码
aaa authentication attempts loging         //限制用户登陆的尝试次数

  禁用以下服务:

no ip domain-lookup                    //禁用DNS解析服务
no ip http server                          //禁用HTTP服务
no service config                  //禁用网络下载配置服务
no cdp run                           //禁用CDP服务

  使用AAA服务:

aaa new-model
aaa authentication login default group tacacs+ enable
tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>
 
aaa authorization exec default group tacacs none
aaa authorization commands 0 default group tacacs none
aaa authorization commands 1 default group tacacs none
aaa authorization commands 15 default group tacacs none
 
aaa accounting exec default start-stop group tacacs
aaa accounting commands 0 default start-stop group tacacs
aaa accounting commands 1 default start-stop group tacacs
aaa accounting commands 15 default start-stop group tacacs
 SNMP管理:Access-list 99 permit 192.168.100.1            //定义允许访问SNMP服务的地址Snmp-server community READONLY RO 99     //定义SNMP只

  读字符串

  日志管理:

Logging host 192.168.100.1         //定义syslog主机地址
Logging trap 6                            //定义网络日志等级
Logging buffered 6               //定义缓存日志等级
No logging console               //禁用控制台日志功能
No logging monitor               //禁用远程登陆日志功能
Logging source-interface loopback 0    //定义日志源地址
Service timestamps log datetime mesc show-timezone //定义日志时间格式

  配置管理:

Archive                        //定义每天自动保存配置到flash
 path disk0:archived-config
 maximum 14
 time-period 1440
 write-memory
 
archive                         //定义记录配置更改并发送syslog日志
 log config
  logging enable
  logging size 200
  hidekeys
  notify syslog

  参考资料:

  http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml#gc

  出处http://edwardlee.blog.51cto.com/153979/158336

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号