2020年(安全生产)C路由器的安全配置方案

（安全生产）C路由器的安

全配置方案

Cisco路由器的安全配置方案

壹,路由器访问控制的安全配置

1,严格控制能够访问路由器的管理员。任何壹次维护都需要记录备案。

2,建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。

3,严格控制CON端口的访问。具体的措施有：

A,如果能够开机箱的，则能够切断和CON口互联的物理线路。

B,能够改变默认的连接属性，例如修改波特率(默认是96000，能够改为其他的)。C,配合使用访问控制列表控制对CON口的访问。

如：Router(Config)#Access-list1permit192.168.0.1

Router(Config)#linecon0

Router(Config-line)#Transportinputnone

Router(Config-line)#Loginlocal

Router(Config-line)#Exec-timeoute50

Router(Config-line)#access-class1in

Router(Config-line)#end

D,给CON口设置高强度的密码。

4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如：Router(Config)#lineaux0

Router(Config-line)#transportinputnone

Router(Config-line)#noexec

5,建议采用权限分级策略。如：

Router(Config)#usernameBluShinprivilege10G00dPa55w0rd

Router(Config)#privilegeEXEClevel10telnet

Router(Config)#privilegeEXEClevel10showipaccess-list

6,为特权模式的进入设置强壮的密码。不要采用enablepassword设置密码。而要采用enablesecret命令设置。且且要启用Servicepassword-encryption。7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则壹定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的且发数目；采用访问列表严格控制访问的地址；能够采用AAA设置用户的访问控制等。

8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如：Router(Config)#ipftpusernameBluShin

Router(Config)#ipftppassword4tppa55w0rd

Router#copystartup-configftp:

9,及时的升级和修补IOS软件。

二,路由器网络服务安全配置

1,禁止CDP(CiscoDiscoveryProtocol)。如：

Router(Config)#nocdprun

Router(Config-if)#nocdpenable

2,禁止其他的TCP、UDPSmall服务。

Router(Config)#noservicetcp-small-servers

Router(Config)#noserviceudp-samll-servers

3,禁止Finger服务。

Router(Config)#noipfinger

Router(Config)#noservicefinger

4,建议禁止HTTP服务。

Router(Config)#noiphttpserver

如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制。如：

Router(Config)#usernameBluShinprivilege10G00dPa55w0rd

Router(Config)#iphttpauthlocal

Router(Config)#noaccess-list10

Router(Config)#access-list10permit192.168.0.1

Router(Config)#access-list10denyany

Router(Config)#iphttpaccess-class10

Router(Config)#iphttpserver

Router(Config)#exit

5,禁止BOOTp服务。

Router(Config)#noipbootpserver

禁止从网络启动和自动从网络下载初始配置文件。

Router(Config)#nobootnetwork

Router(Config)#noservicconfig

6,禁止IPSourceRouting。

Router(Config)#noipsource-route

7,建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。

Router(Config)#noipproxy-arp

Router(Config-if)#noipproxy-arp

8,明确的禁止IPDirectedBroadcast。

Router(Config)#noipdirected-broadcast

9,禁止IPClassless。

Router(Config)#noipclassless

10,禁止ICMP协议的IPUnreachables,Redirects,MaskReplies。

Router(Config-if)#noipunreacheables

Router(Config-if)#noipredirects

Router(Config-if)#noipmask-reply

11,建议禁止SNMP协议服务。在禁止时必须删除壹些SNMP服务的默认配置。或者需要访问列表来过滤。如：

Router(Config)#nosnmp-servercommunitypublicRo

Router(Config)#nosnmp-servercommunityadminRW

Router(Config)#noaccess-list70

Router(Config)#access-list70denyany

Router(Config)#snmp-servercommunityMoreHardPublicRo70

Router(Config)#nosnmp-serverenabletraps

Router(Config)#nosnmp-serversystem-shutdown

Router(Config)#nosnmp-servertrap-anth

Router(Config)#nosnmp-server

Router(Config)#end

12,如果没必要则禁止WINS和DNS服务。

Router(Config)#noipdomain-lookup

如果需要则需要配置：

Router(Config)#hostnameRouter

Router(Config)#ipname-server202.102.134.96

13,明确禁止不使用的端口。

Router(Config)#interfaceeth0/3

Router(Config)#shutdown

三,路由器路由协议安全配置

1,首先禁止默认启用的ARP-Proxy，它容易引起路由表的混乱。

Router(Config)#noipproxy-arp或者

Router(Config-if)#noipproxy-arp

2,启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的，建议启用MD5认证。且设置壹定强度密钥(key,相对的路由器必须有相同的Key)。Router(Config)#routerospf100

Router(Config-router)#network192.168.100.00.0.0.255area100

!启用MD5认证。

!areaarea-idauthentication启用认证，是明文密码认证。

！areaarea-idauthenticationmessage-digest

Router(Config-router)#area100authenticationmessage-digest

Router(Config)#exit

Router(Config)#interfaceeth0/1

！启用MD5密钥Key为routerospfkey。

！ipospfauthentication-keykey启用认证密钥，但会是明文传输。

！ipospfmessage-digest-keykey-id(1-255)md5key

Router(Config-if)#ipospfmessage-digest-key1md5routerospfkey

3,RIP协议的认证。只有RIP-V2支持，RIP-1不支持。建议启用RIP-V2。且且采用MD5认证。普通认证同样是明文传输的。

Router(Config)#configterminal

!启用设置密钥链

Router(Config)#keychainmykeychainname

Router(Config-keychain)#key1

！设置密钥字串

Router(Config-leychain-key)#key-stringMyFirstKeyString

Router(Config-keyschain)#key2

Router(Config-keychain-key)#key-stringMySecondKeyString

！启用RIP-V2

Router(Config)#routerrip

Router(Config-router)#version2

Router(Config-router)#network192.168.100.0

Router(Config)#interfaceeth0/1

!采用MD5模式认证，且选择已配置的密钥链

Router(Config-if)#ipripauthenticationmodemd5

Router(Config-if)#ipripanthenticationkey-chainmykeychainname

4,启用passive-interface命令能够禁用壹些不需要接收和转发路由信息的端口。建议对于不需要路由的端口，启用passive-interface。可是，在RIP协议是只是禁止转发路由信息，且没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。

!Rip中，禁止端口0/3转发路由信息

Router(Config)#routerRip

Router(Config-router)#passive-interfaceeth0/3

！OSPF中，禁止端口0/3接收和转发路由信息

Router(Config)#routerospf100

Router(Config-router)#passive-interfaceeth0/3

5,启用访问列表过滤壹些垃圾和恶意路由信息,控制网络的垃圾信息流。Router(Config)#access-list10deny192.168.1.00.0.0.255

Router(Config)#access-list10permitany

!禁止路由器接收更新192.168.1.0网络的路由信息

Router(Config)#routerospf100

Router(Config-router)#distribute-list10in

！禁止路由器转发传播192.168.1.0网络的路由信息

Router(Config)#routerospf100

Router(Config-router)#distribute-list10out

6,建议启用IPUnicastReverse-PathVerification。它能够检查源IP地址的准确性，从而能够防止壹定的IPSpooling。可是它只能在启用

CEF(CiscoExpressForwarding)的路由器上使用。

Router#configt

!启用CEF

Router(Config)#ipcef

！启用UnicastReverse-PathVerification

Router(Config)#interfaceeth0/1

Router(Config)#ipverifyunicastreverse-path

四,路由器审核安全配置

,路由器其他安全配置

1,及时的升级IOS软件，且且要迅速的为IOS安装补丁。

2,要严格认真的为IOS作安全备份。

3,要为路由器的配置文件作安全备份。

4,购买UPS设备，或者至少要有冗余电源。

5,要有完备的路由器的安全访问和维护记录日志。

6,要严格设置登录Banner。必须包含非授权用户禁止登录的字样。

7,IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址；回环地址(127.0.0.0/8)；RFC1918私有地址；DHCP自定义地址

(169.254.0.0/16)；科学文档作者测试用地址(192.0.2.0/24)；不用的组播地址(224.0.0.0/4)；SUNX公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23)；全网络地址(0.0.0.0/8)。

Router(Config)#access-list100denyip192.168.0.00.0.0.255anylog

Router(Config)#access-list100denyip127.0.0.00.255.255.255anylog Router(Config)#access-list100denyip192.168.0.00.0.255.255anylog

Router(Config)#access-list100denyip172.16.0.00.15.255.255anylog Router(Config)#access-list100denyip10.0.0.00.255.255.255anylog Router(Config)#access-list100denyip169.254.0.00.0.255.255anylog Router(Config)#access-list100denyip192.0.2.00.0.0.255anylog

Router(Config)#access-list100denyip224.0.0.015.255.255.255any Router(Config)#access-list100denyip20.20.20.00.0.0.255anylog Router(Config)#access-list100denyip204.152.64.00.0.2.255anylog Router(Config)#access-list100denyip0.0.0.00.255.255.255anylog

8,建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。如：Router(Config)#noaccess-list101

Router(Config)#access-list101permitip192.168.0.00.0.0.255any

Router(Config)#access-list101denyipanyanylog

Router(Config)#interfaceeth0/1

Router(Config-if)#description“internetEthernet”

Router(Config-if)#ipaddress192.168.0.254255.255.255.0

Router(Config-if)#ipaccess-group101in

9,TCPSYN的防范。如：

A:通过访问列表防范。

Router(Config)#noaccess-list106

Router(Config)#access-list106permittcpany192.168.0.00.0.0.255establish ed

Router(Config)#access-list106denyipanyanylog

Router(Config)#interfaceeth0/2

Router(Config-if)#description“externalEthernet”

Router(Config-if)#ipaddress192.168.1.254255.255.255.0

Router(Config-if)#ipaccess-group106in

B：通过TCP截获防范。(这会给路由器产生壹定负载)

Router(Config)#iptcpinterceptlist107

Router(Config)#access-list107permittcpany192.168.0.00.0.0.255

Router(Config)#access-list107denyipanyanylog

Router(Config)#interfaceeth0

Router(Config)#ipaccess-group107in

10,LAND.C进攻的防范。

Router(Config)#access-list107denyiphost192.168.1.254host192.168.1.254 log

Router(Config)#access-listpermitipanyany

Router(Config)#interfaceeth0/2

Router(Config-if)#ipaddress192.168.1.254255.255.255.0

Router(Config-if)#ipaccess-group107in

11,Smurf进攻的防范。

Router(Config)#access-list108denyipanyhost192.168.1.255log

Router(Config)#access-list108denyipanyhost192.168.1.0log

12,ICMP协议的安全配置。对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Maskrequest。也需要禁止TraceRoute命令的探测。对于流出的ICMP

流，我们能够允许ECHO、ParameterProblem、Packettoobig。仍有TraceRoute 命令的使用。

!outboundICMPControl

Router(Config)#access-list110denyicmpanyanyecholog

Router(Config)#access-list110denyicmpanyanyredirectlog

Router(Config)#access-list110denyicmpanyanymask-requestlog Router(Config)#access-list110permiticmpanyany

!InboundICMPControl

Router(Config)#access-list111permiticmpanyanyecho

Router(Config)#access-list111permiticmpanyanyParameter-problem Router(Config)#access-list111permiticmpanyanypacket-too-big Router(Config)#access-list111permiticmpanyanysource-quench Router(Config)#access-list111denyicmpanyanylog

!OutboundTraceRouteControl

Router(Config)#access-list112denyudpanyanyrange3340034400

!InboundTraceRouteControl

Router(Config)#access-list112permitudpanyanyrange3340034400

13,DDoS(DistributedDenialofService)的防范。

!TheTRINOODDoSsystem

Router(Config)#access-list113denytcpanyanyeq27665log

Router(Config)#access-list113denyudpanyanyeq31335log

Router(Config)#access-list113denyudpanyanyeq27444log

!TheStacheldtrahtDDoSsystem

Router(Config)#access-list113denytcpanyanyeq16660log

Router(Config)#access-list113denytcpanyanyeq65000log

!TheTrinityV3System

Router(Config)#access-list113denytcpanyanyeq33270log

Router(Config)#access-list113denytcpanyanyeq39168log

!TheSubSevenDDoSsystemandsomeVariants

Router(Config)#access-list113denytcpanyanyrange67116712log Router(Config)#access-list113denytcpanyanyeq6776log

Router(Config)#access-list113denytcpanyanyeq6669log

Router(Config)#access-list113denytcpanyanyeq2222log

Router(Config)#access-list113denytcpanyanyeq7000log

13,建议启用SSH，废弃掉Telnet。但只有支持且带有IPSec特征集的IOS才支持SSH。且且IOS12.0-IOS12.2仅支持SSH-V1。如下配置SSH服务的例子：Router(Config)#configt

Router(Config)#noaccess-list22

Router(Config)#access-list22permit192.168.0.22

Router(Config)#access-listdenyany

Router(Config)#usernameBluShinprivilege10G00dPa55w0rd

!设置SSH的超时间隔和尝试登录次数

Router(Config)#ipsshtimeout90

Router(Config)#ipsshanthentication-retries2

Router(Config)#linevty04

Router(Config-line)#access-class22in

Router(Config-line)#transportinputssh

Router(Config-line)#loginlocal

Router(Config-line)#exit

！启用SSH服务，生成RSA密钥对。

Router(Config)#cryptokeygeneratersa Thenameforthekeyswillbe:https://www.sodocs.net/doc/4a18632619.html, Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralP urposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes. Howmanybitsinthemodulus[512]:2048 GeneratingRSAKeys...

[OK]

华为路由器路由策略和策略路由

路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。 匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL

SR8800-X核心路由器策略路由配置指导

H3C SR8800-X 核心路由器 策略路由配置指导

目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 IPv4 策略路由配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置步骤 (2) 4.5 验证配置 (3) 4.6 配置文件 (3) 4.7 组网需求 (4) 4.8 配置思路 (5) 4.9 使用版本 (5) 4.10 配置步骤 (5) 4.11 验证配置 (6) 4.12 配置文件 (6) 5 相关资料 (7)

1 简介 本文档介绍了策略路由的配置举例。 普通报文是根据目的IP 地址来查找路由表转发的，策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解策略路由特性。 3 使用限制 ?本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用，指导其转发，对本地产生的报文不起作用； ?配置重定向到下一跳时，不能将IPv4 规则重定向到IPv6 地址，反之亦然。 4 IPv4 策略路由配置举例 4.1 组网需求 如图1 所示，缺省情况下，Device的接口GigabitEthernet 3/0/1 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。 现要求在Device 上配置IPv4 策略路由，对于访问Server 的报文实现如下要求： (1) 首先匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文，将该报文的下一 跳重定向到10.5.1.2； (2) 其次匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文，将该报文的下一跳重定向到 10.3.1.2。 图1 IPv4 策略路由特性典型配置组网图

Netgear(网件)WGR614 v7安全设置详解

Netgear（网件）WGR614 v7安全设置详解 １楼Netgear（网件）WGR614 v7的配置（仅供参考） 如何连接ADSL MODEM+无线路由+笔记本（文字说明） １楼一、安装（简单讲讲） 二、自动拨号设置（适用ADSL、电话拨号等） 三、零配置服务（WZC）启用 ２楼四、更改无线网络标识（SSID） 五、对无线路由进行加密设置 1、WEP加密 2、WPA加密（须无线网卡支持） 六、对电脑进行无线网络安全配置 1、WEP加密 2、WPA加密 ３楼七、禁止SSID的广播（无线网络名称的广播） 八、无线网卡MAC地址访问控制 ４楼九、其他一些必要的基础安全措施 1、修改无线路由的登录密码 2、站点限制 3、路由的远程管理功能 4、限制服务 5、时间限制 6、Email报警功能 7、局域网设置（重置局域网网关） 8、WAN设置（自动连接开关、SPI防火墙开关、DMZ服务器设置、是否响应PING命令等） 9、端口映射、端口触发 10、动态DNS（需要在服务器处注册） ５楼一些官方网站的的链接和实用文章（链接） 最近买了一款Netgear（网件）WGR614 v7，终于把我的5502的无线网卡用上了。一开始，我也在D-LINK DI-624+A和WGR614 v7之间犹豫，但一是出于外观，二是觉得网件印象中是一个老牌的路由生产商，所以还是选了网件。 WGR614 v7的配置： QUOTE: 802.11g/b的速率 10/100 Mbps 广域网端口 双重防火墙——SPI和NAT 智能安全向导可自动检测ISP线路类型 兼容802.11b无线设备 共享访问宽带互联网 Wi-Fi预保护访问,预共享密钥匙(WPA-PSK)

2.实验二、路由器的日常维护与管理(详解版)资料

实验二、路由器的日常维护与管理 1、实验目的 通过本实验可以： 1)掌握路由接口IP地址的配置及接口的激活 2)掌握telnet的使用及配置 3)熟悉CDP的使用及配置 4)了解基本的debug调试命令 5)理解并实现设备之间的桥接 6)绘制基本的网络拓扑图 7)掌握数据通信的可达性测试 8)掌握路由器的密码恢复步骤 9)熟悉TFTP服务器的使用 10)掌握路由器配置文件的备份与恢复 11)掌握路由器IOS文件的备份、升级和恢复 2、拓扑结构 路由器的日常维护与管理拓扑 3、实验需求 1)设置主机名，并关闭域名解析、关闭同步、关闭控制台超时 2)使用相关命令查看当前配置信息，并保存当前的配置文件 3)桥接PC到机架路由器，配置路由器接口的IP地址，开启接口并测试路由器与 本机的连通性，开启debug观察现象 4)使用TFTP传送文件，分别实现拷贝路由器的配置文件到TFTP服务器和从TFTP

服务器导入配置文件到路由器 a)将当前配置文件保存到本机，并在本机打开并修改所保存的配置文件 b)将当前配置文件保存到同学电脑 c)将保存在本机的配置文件导入所使用的设备 d)将同学保存的配置文件导入所使用的设备 e)注意观察导入配置文件时设备提示信息的变化 5)使用TFTP备份路由器的IOS文件 6)IOS文件的升级和灾难恢复 7)路由器的密码恢复 8)使用CDP发现邻居设备，实现telnet远程登入到邻居设备 9)用主机名绑定IP，实现telnet主机名与telnet IP一致的效果 10)实现GNS3模拟器与本机之间的桥接，并将模拟器的配置文件保存到本机4、参考配置 1.配置基本命令 设置主机名、关闭域名解析、同步、控制台超时 Router>enable Router#config terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname r14//命名主机 r14(config)#no ip domain-lookup//关闭域名解析 r14(config)#line console 0 r14(config-line)#logging synchronous //关闭日志同步 r14(config-line)#exec-timeout 0 0//关闭控制台超时 r14(config-line)#end r14# 2.查看当前配置信息，并保存当前的配置文件 r14#show running-config //查看当前运行的配置文件 Building configuration... Current configuration : 420 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname r14 ! ! ip subnet-zero ! ! no ip domain-lookup !

无线路由器的安全配置方法

无线路由器的安全配置方法 随着越来越多的用户选择无线网络来提高工作的移 动性，无线网络的安全也开始备受大家关注。可以说，无线比有线网络更难保护，因为有线网络的固定物理访问点数量有限，而无线网络中信号能够达到的任何一点都可能被使用。 目前，各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等多种手段，以保证无线网络的安全。 设置网络密钥 无线加密协议(WEP)是对无线网络中传输的数据进行加 密的一种标准方法。目前，无线路由器或AP的密钥类型一 般有两种，分别为64位和128位的加密类型，它们分别需 要输入10个或26个字符串作为加密密码。许多无线路由器或AP在出厂时，数据传输加密功能是关闭的，必须在配置 无线路由器的时候人工打开。 禁用SSID广播 通常情况下，同一生产商推出的无线路由器或AP都使

用了相同的SSID，一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络，就极易建立起一条非法的连接，给我们的无线网络带来威胁。因此，建议你最好能够将SSID命名为一些较有个性的名字。 无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到，那么最好“禁止SSID广播”。你的无线网络仍然可以使用，只是不会出现在其他人所搜索到的可用网络列表中。 通过禁止SSID广播设置后，无线网络的效率会受到一定的影响，但以此换取安全性的提高，笔者认为还是值得的。 禁用DHCP DHCP功能可在无线局域网内自动为每台电脑分配IP地址，不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能，那么别人就能很容易使用你的无线网络。因此，禁用DHCP功能对无线网络而言很有必要。在无线路由器的“DHCP服务器”设置项下将DHCP 服务器设定为“不启用”即可。 启用MAC地址、IP地址过滤

华为路由重分布

一.基本信息配置 system-view //进入系统视图 [H3C]sysname RT3 //为设备命名 [RT3]super password simple H3C //设置超级密码 [RT3]local-user admin //添加用户 [RT3-luser-admin]password simple admin //为用户设定密码[RT3-luser-admin]service-type telnet //指定用户的类型[RT3-luser-admin]quit //返回上一级 [RT3]user-interface vty 0 4 //进入vty

[RT3-ui-vty0-4]set authentication password simple telnet //设置远程登陆认证，密码为telnet [RT3-ui-vty0-4]idle-timeout 5 0 //配置超时退出时间 其它略 二、链路配置及调测 interface Serial0/2/0 ip address 10.1.13.2 255.255.255.252 undo shutdown interface LoopBack0 ip address 3.3.3.3 255.255.255.255 undo shutdown interface Ethernet0/1/0 ip address 10.1.3.1 255.255.255.0 undo shutdown 其它略 三、OSPF多区域及RIP配置 [RT3] ospf 1 router-id 3.3.3.3 //配置OSPF ROUTER-ID silent-interface all //配置所有端口为被动接口 undo silent-interface Serial0/2/0 //关闭此接口的被动接口undo silent-interface Serial0/2/2

juniper路由器配置

juniper路由器配置 一．路由器网络服务安全配置： 默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务 1． SNMP服务 使用如下命令来停止SNMP服务： setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串：setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串： setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap： setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端：setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2．停止接口广播转发： 广播转发容易造成smurf攻击，因此应该使用如下命令停止： setsystemno-redirects 接口级别停止广播转发使用如下命令： setinterfacesfxp0unit0familyinetno-redirects 3．停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp 服务器，如果没有使用，则应该使用如下命令停止： setsystemdhcp-relaydisable 4．禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolsigmpinterfacealldisable 5．禁止PIM服务（？），PIM服务如果在没有使用的情况下应该使用如下命令禁止： setprotocolspimdisable 6．禁止SAP服务（？），SAP服务如果在没有使用的情况下应该使用如下命令禁止： setprotocolssapdisable 7．禁止IPSourceRouting源路由 setchassisno-source-route 二．路由器登录控制： 1．设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2．设置登录超时时间： 默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟： setcliidle-timeout15

策略路由配置命令

一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下，配置distribute 列表，引用acl 1，过滤从ospf 1重发布到rip的网络路由。也就是说，通过该路由器进行ospf的重发布到rip网络中，过滤acl 1的数据。在该例中的意思就是ospf中如果有数据属于192.168.1.0/24，那么在rip 网络中无法学习到这些路由。由于重发布的命令是redistribute，所以这里可以理解为发布到rip网络中。=============================================================================== ============================================ 二、基于route-map的路由过滤 1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为route-map的名称，10为序列号，下述条件如果成立的话动作为permit。注意：route-map和acl相同的是，在尾部都有隐藏的默认拒绝所有的条件。 3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足 4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候，对route-map的ospf-rip条目进行匹配过滤。在该例中就是禁止192.168.1.0/24的网络通过路由重发布到rip网络中，也就阻止了rip网络中的路由器学习到该路由。 =============================================================================== ============================================ 三、策略路由 1.定义acl (conf)#access-list 1 permit host 192.168.1.1 2.定义route-map (conf)# route-map pdb permit 10 其中pdb为route-map的名称，10为序列号

无线路由器安全设置详细步骤详解

无线路由器安全设置详细步骤详解 路由器安全设置十四步 1. 为路由器间的协议交换增加认证功能提高网络安全性。 路由器的一个重要功能是路由的管理和维护目前具有一定规模的网络都采用动态的路由协议,常用的有：RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏也可能由于向网络发送自己的路由信息表扰乱网络上正常工作的路由信息表严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式就会鉴别路由信息的收发方。 2. 路由器的物理安全防范。 路由器控制端口是具有特殊权限的端口如果攻击者物理接触路由器后断电重启实施密码修复流程进而登录路由器就可以完全控制路由器。 3. 保护路由器口令。 在备份的路由器配置文件中密码即使是用加密的形式存放密码明文仍存在被破解的可能。一旦密码泄漏网络也就毫无安全可言。 4. 阻止察看路由器诊断信息。

关闭命令如下： no service tcp-small-servers no service udp-small-servers 5. 阻止查看到路由器当前的用户列表。 关闭命令为：no service finger。 6. 关闭CDP服务。 在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。 7. 阻止路由器接收带源路由标记的包将带有源路由选项的数据流丢弃。 IP source-route是一个全局配置命令允许路由器处理带源路由选项标记的数据流。启用源路由选项后源路由信息指定的路由使数据流能够越过默认的路由这种包就可能绕过防火墙。关闭命令如下： no ip source-route。 8. 关闭路由器广播包的转发。 Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板占用网络资源甚至造成网络的瘫痪。应在每个端口应用no ip directed-broadcast关闭路由器广播包。 9. 管理服务。

Juniper路由器安全配置方案

Juniper路由器安全配置方案 一． 路由器网络服务安全配置： 默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务 1． SNMP服务 使用如下命令来停止SNMP服务： set system processes snmp disable 使用如下命令来设置SNMP通讯字符串： set snmp community mysnmp authorization read-only 使用如下命令来在接口上设备SNMP通讯字符串： set snmp interface fxp0 community mysnmp 使用如下命令来在接口上禁止SNMP服务trap： set interfaces fxp0 unit 0 traps disable 使用如下命令来限制SNMP的访问客户端： set snmp community mysnmp clients 192.168.0.0/24 set snmp community mysnmp clients 0.0.0.0/0 restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务< 2． 停止接口广播转发： 广播转发容易造成smurf攻击，因此应该使用如下命令停止： set system no-redirects 接口级别停止广播转发使用如下命令： set interfaces fxp0 unit 0 family inet no-redirects 3． 停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp服务器，如果没有使用，则应该使用如下命令停止： set system dhcp-relay disable 4． 禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止： set protocols igmp interface all disable 5． 禁止PIM服务，PIM服务如果在没有使用的情况下应该使用如下命令禁止： set protocols pim disable

策略路由配置详解

38策略路由配置 38.1理解策略路由 38.1.1策略路由概述 策略路由（PBR：Policy-Based Routing）提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵 活地进行路由选择。 现有用户网络，常常会出现使用到多个ISP（Internet Server Provider，Internet服务提供商）资源的情形，不同ISP申请到的带宽不一；同时，同一用户环境中需要对重点用户资源保证等目的，对这部分用户不能够再依据普通路由表进行转发，需要有选择的进行数据报文的转发控制，因此，策略路由技术即能够保证ISP资源的充分利用，又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由，而对于从该接口转发出去的报文不受策略路由的控制；一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何 策略的数据包将按照普通的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下，策略路由的优先级高于普通路由，能够对IP/IPv6报文依据定义的策略转发；即数据报文先按照IP/IPv6策略路由进行转发，如果没有匹配任意一个的策略路由条件，那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低，接口上收到的IP/IPv6报文 则先进行普通路由的转发，如果无法匹配普通路由，再进行策略路由转发。 用户可以根据实际情况配置设备转发模式，如选择负载均衡或者冗余备份模式，前者设置的多个下一跳会进行负载均衡，还可以设定负载分担的比重；后者是应用多个下一跳处于冗余模式，即前面优先生效，只有前面的下一跳无效时，后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型： 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由，而对于从该接口转发出去的报文不受策略路由的控制； 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文，对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由，必须先创建路由图，然后在接口上应用该路由图。一个路由图由很多条策略组成，每条策略都有对应的序号（Sequence），序号越小，该条策略的优先级越高。

网络设备的配置和管理

实验二网络设备的配置和管理 1、 实验项目名称：网络设备的配置和管理 (实验编 号：05210102) 二、实验目的：通过配置路由器等网络设备，一是巩固和加深理解网络互连原理。二是增强实际操作网络设备的能力。 3、实验仪器和材料工具：pc机器，以太网交换机，路 由器。 四、原理概述：路由器在网络层以IP协议互联各种物理网络，进行路由选择，在网络之间转发IP数据报。路由器是一种多端口专用设备，每个端口连接不同的网络，具有不同的硬件地址和IP地址。五．实验内容步骤 首先熟悉routersim ccna 2软件的使用方法和功能.以及网络结构.然后进行下面的配置。 使用说明: 1.本文档中蓝色字体为系统自动出现的提示符,提示符号后面黑色字母为我们要输入的命令,后面或下面一行( )内为解释并且输入完每一行命令之后,都按回车键) 2. 在软件的网络结构图上点击任何一种网络设备,就进入该设备的配置界面.点击该配置界面右下方的netword visuallize按钮,又能切换回到网络结构图界面.在网络结构图界面上点击任何一种设备,又进入该设备刚才的配置界面.可以这样来回切换.) 3. 系统给网络中各个设备的地址分配,建议了一个分配方案. 在软件的network visulize界面(即网络结构图界面)下方,有一个按钮view suggested lab,点击可以见到所有设备各个端口的建议地址分配方案,我们下面的配置采用这些方案,如果能力强,也可以自己设计地址分配方案) 第一部分：配置路由器router A,包括主机名配置,每个端口的ip地址配置.在网络结构图上点击路由器A进入配置界面.输入回车出现router>字样的提示符 router>en (enable的缩写,进入特权模式) router#config t (config terminal 的缩写,进入终端配置模式) router(config)#hostname routerA (配置路由器的主机名为routerA) routerA(config)#int e0 (interface Ethernet 0 的缩写,表示进入以太网接口E0进行配置,系统进入接

Cisco路由器安全配置简易方案

一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: 4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如:

5,建议采用权限分级策略。如: 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为，所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置

Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3,禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4,建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置: 设置用户名和密码;采用访问列表进行控制。如: Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http server Router(Config)# exit 5,禁止BOOTp服务。 Router(Config)# no ip bootp server

ospf 路由策略配置

A B B路由器和A路由器之间运行OSPF协议，B路由器通过OSPF发布三条静态路由到A路由器，静态路由的目的网段为5.5.5.5，6.6.6.6，7.7.7.7，类型为第一类外部路由，A路由器学到的5.5.5.5.的cost值比6.6.6.6和7.7.7.7的cost值小。配置如下： B路由器 router id 2.2.2.2 # interface Ethernet4/2/0 ip address 11.11.11.12 255.255.255.0 # acl number 1 rule 0 permit source 5.5.5.5 0 # acl number 2 rule 0 deny source 5.5.5.5 0 rule 1 permit # ospf import-route static cost 100 type 1 route-policy cost # area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 11.11.11.0 0.0.0.255 # route-policy cost permit node 10 if-match acl 1 apply cost 10 route-policy cost permit node 20 if-match acl 2 # ip route-static 5.5.5.5 255.255.255.255 NULL 0 preference 60 ip route-static 6.6.6.6 255.255.255.255 NULL 0 preference 60 ip route-static 7.7.7.7 255.255.255.255 NULL 0 preference 60 #

中国移动华为路由器安全配置规范V2.0

中国移动华为路由器 安全配置规范 S p e c i f i c a t i o n f o r H U A W E I R o u t e r C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号：2.0.0 ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部

目录 1. 范围 (3) 2. 规范性引用文件 (3) 2.1. 内部引用 (3) 2.2. 外部引用 (4) 3. 术语、定义和缩略语 (4) 4. 华为路由器设备配置安全要求 (4) 4.1. 账号管理及认证授权要求 (4) 4.1.1. 账号 (5) 4.1.2. 口令 (7) 4.1.3. 授权 (8) 4.1.4. 认证 (8) 4.2. 日志要求 (10) 4.3. IP协议安全要求 (13) 4.3.1. 基本协议安全 (13) 4.3.2. 路由协议安全 (17) 4.3.3. SNMP协议安全 (18) 4.3.4. MPLS安全 (20) 4.4. 设备其他安全要求 (21) 5. 编制历史 (24)

前言 为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。 本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团吉林有限公司。 本标准解释单位：同提出单位。 本标准主要起草人：王金星、常伟、陈敏时、周智、曹一生。

华为路由器路由策略和策略路由配置与管理

路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。

匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表（IP Prefix List） 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器，可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引（index），每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配，任意一个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。 根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。 说明： 当IP地址为0.0.0.0时表示通配地址，表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器（AS_Path Filter） AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器（Community Filter） 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器（Extcommunity Filter） 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器，可在VPN配置中利用VPN Target区分路由时单独使用。 目前，扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器（Route Distinguisher Filter） RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器，可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立，区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时，可以应用路由策略。只有当设备支持BGP to IGP功能时，路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能，那么IGP就不能够识别BGP路由的私有属性，将导致匹配条件失效。

2020年(安全生产)C路由器的安全配置方案

（安全生产）C路由器的安 全配置方案

Cisco路由器的安全配置方案 壹,路由器访问控制的安全配置 1,严格控制能够访问路由器的管理员。任何壹次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有： A,如果能够开机箱的，则能够切断和CON口互联的物理线路。 B,能够改变默认的连接属性，例如修改波特率(默认是96000，能够改为其他的)。C,配合使用访问控制列表控制对CON口的访问。 如：Router(Config)#Access-list1permit192.168.0.1 Router(Config)#linecon0 Router(Config-line)#Transportinputnone Router(Config-line)#Loginlocal Router(Config-line)#Exec-timeoute50 Router(Config-line)#access-class1in Router(Config-line)#end D,给CON口设置高强度的密码。 4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如：Router(Config)#lineaux0 Router(Config-line)#transportinputnone Router(Config-line)#noexec 5,建议采用权限分级策略。如：

Router(Config)#usernameBluShinprivilege10G00dPa55w0rd Router(Config)#privilegeEXEClevel10telnet Router(Config)#privilegeEXEClevel10showipaccess-list 6,为特权模式的进入设置强壮的密码。不要采用enablepassword设置密码。而要采用enablesecret命令设置。且且要启用Servicepassword-encryption。7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则壹定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的且发数目；采用访问列表严格控制访问的地址；能够采用AAA设置用户的访问控制等。 8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如：Router(Config)#ipftpusernameBluShin Router(Config)#ipftppassword4tppa55w0rd Router#copystartup-configftp: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置 1,禁止CDP(CiscoDiscoveryProtocol)。如： Router(Config)#nocdprun Router(Config-if)#nocdpenable 2,禁止其他的TCP、UDPSmall服务。 Router(Config)#noservicetcp-small-servers Router(Config)#noserviceudp-samll-servers 3,禁止Finger服务。