配置CBAC，提升Cisco路由器安全4

配置CBAC，提升Cisco路由器安全4

　　Router(config)#access -list 101 permit icmp any any UnreaChable

　　(2).在访问控制列表中添加一个拒绝所有冒用受保护网络中地址的外来数据流的条目。这被称作防欺骗保护，因为它可以防止来自不受保护网络的数据流假冒保护网络中某个设备的身份。

　　(3).在访问控制列表增加一个拒绝源地址为广播地址(255.255.255.255)数据包的条目。该条目可以防止广播攻击。

　　(4).当对防火墙的访问特权设置口令时，最好是用“enablesecret”命令而不是“enablepassword”命令。因为“enableesecret”命令使用了一种更强的加密算法。

　　(5).在控制台端口上设置一个口令，至少应配置“login”和“password”命令。

　　(6).在以任何方法将控制台连接到网络上(包括在该端口上连接一个调制解调器)之前，应认真考虑访问控制事宜。要知道，在重启防火墙路由器时通过在控制台端口上“break”键就可以获得对它的完全控制权，即使配置了访问控制也无法阻止。

　　(7).对所有的虚拟终端端口应用访问控制列表和口令保护。用“access -class”命令指定的访问可以通过telnet登录到路由器上。

　　(8).不要启用用不到的任何本地服务(如SNMP或网络时间协议NTP)。Cisco发现吸引CDP(Cisco Discovery Protocol)和NTP的缺省是打开的，如果不使用的话就应该把它们关闭。

　　(9).任何被启用的服务都有可能带来潜在的安全风险。一个坚决的、有恶意的团体有可能会摸索出滥用所启用服务的方法来访问防火墙或网络。对于被启用的本地服务，，可以通过将它们配置为只与特定的对等体进行通信来防止被滥用，并通过在特定的接口上配置访问控制列表来拒绝对这些服务的访问数据包来保护自己。