很多网【hěn duō wǎng】络管理员在刚开始使【kāi shǐ shǐ】用思科【yòng sī kē】路由器【lù yóu qì】📓时都会🏗忽略安♒全设置🌓，本文介绍的内【shào de nèi】容非常适合此类应用者在使【zhě zài shǐ】🚙用思科【yòng sī kē】路由器【lù yóu qì】📓时对网络安全💏进行配置⚽。

　　一【yī】．路由器【lù yóu qì】“访问控制”的安全🍱配置🍬

　　1．严格控😪制可以访问路【fǎng wèn lù】🤴由器的管理员。任何一次维护都需要【dōu xū yào】记录备【jì lù bèi】案🌍。

　　2．建议不要远程【yào yuǎn chéng】🍠访问路【fǎng wèn lù】由器🌽。即使需要远程【yào yuǎn chéng】🍠访问路【fǎng wèn lù】由器🌽，建议使🏅用访问控制列【kòng zhì liè】表和高👝强度的🏴密码控【mì mǎ kòng】制【zhì】。

　　3．严格控制【zhì】CON端口的访问💽。具体的【jù tǐ de】措施有🅾:

　　A．如果可🧑以开机箱的【xiāng de】，则可以【zé kě yǐ】切断与🎦CON口互联【kǒu hù lián】的物理线路🐒。

　　B．可以改【kě yǐ gǎi】📺变默认【biàn mò rèn】的连接属性【shǔ xìng】👼，例如修改波特⛎率(默认是96000，可以改【kě yǐ gǎi】📺为其他🚚的)。

　　C．配合使【pèi hé shǐ】用访问🦎控制列表控制🔑对【duì】CON口的访【kǒu de fǎng】🤨问🦎。

　　如【rú】👉:Router(Config)#Access-list 1 permit 192.168.0.

　　Router(Config)#line con 0 

　　Router(Config-line)#Transport input none 

　　Router(Config-line)#Login local 

　　Router(Config-line)#Exec-timeoute 5 0 

　　Router(Config-line)#access-class 1 in 

　　Router(Config-line)#end

　　D．给CON口设置高强度的密码。

　　4．如果不使用💪AUX端口【duān kǒu】💹，则禁止这个端【zhè gè duān】口【kǒu】💹。默认是未被启用💪。禁止如🤦:

　　Router(Config)#line aux 0 

　　Router(Config-line)#transport input none 

　　Router(Config-line)#no exec

　　5．建议采用权限分级策略。如:

　　Router(Config)#username BluShin privilege 10 G00dPa55w0rd 

　　Router(Config)#privilege EXEC level 10 telnet 

　　Router(Config)#privilege EXEC level 10 show ip access-list

　　6．为特权【wéi tè quán】🍙模式的🙋进入设置💛强壮的密码【mì mǎ】👯。不要采用【yòng】📠enable password设置💛密码【mì mǎ】。而要采【ér yào cǎi】用【yòng】📠enable secret命令设置💛。并且要【bìng qiě yào】启用【yòng】📠Service password-encryption。

　　7．控制对【kòng zhì duì】VTY的访问。如【rú】果不需要远程访问【chéng fǎng wèn】则禁止【zé jìn zhǐ】⭐它。如【rú】果需要则一🛰定要设🎼置强壮的密🐰码【mǎ】。由于【yóu yú】VTY在网络的传输【de chuán shū】过程中🆙为加密，所以需要对其🥨进行严【jìn háng yán】格的控【gé de kòng】🤓制【zhì】。如【rú】:设置强壮的密🐰码【mǎ】;控制【zhì】连接的并发数目💽;采用访【cǎi yòng fǎng】问列表严格控【yán gé kòng】制【zhì】访问的地址🤧;可以采😝用AAA设置用户的访【hù de fǎng】➖问控制【zhì】🔘等。

　　8．IOS的升级【de shēng jí】和备份【hé bèi fèn】，以及配🛑置文件的备份🎎建议使【jiàn yì shǐ】用FTP代替👯TFTP。如:

　　Router(Config)#ip ftp username BluShin 

　　Router(Config)#ip ftp password 4tppa55w0rd 

　　Router#copy startup-config ftp:

　　9．及时的升级和修补IOS软件。

　二．路由器【lù yóu qì】“网络服👹务”的安全【de ān quán】🗜配置

　　1．禁止【jìn zhǐ】🏏CDP(Cisco Discovery Protocol)。如:

　　Router(Config)#no cdp run 

　　Router(Config-if)# no cdp enable

　　2．禁止其【jìn zhǐ qí】📥他的TCP、UDP Small服务。

　　Router(Config)# no service tcp-small-servers 

　　Router(Config)# no service udp-samll-servers

　　3．禁止Finger服务。

　　Router(Config)# no ip finger 

　　Router(Config)# no service finger

　　4．建议禁止HTTP服务。

　　Router(Config)# no ip http server

　　如【rú】果启🕹用了HTTP服务则需要对【xū yào duì】其进行⏸安全配【ān quán pèi】置:设置用【shè zhì yòng】户名和【hù míng hé】密码;采用访🖲问列表🈸进行控📥制。如【rú】:

　　Router(Config)# username BluShin privilege 10 G00dPa55w0rd 

　　Router(Config)# ip http auth local 

　　Router(Config)# no access-list 10 

　　Router(Config)# access-list 10 permit 192.168.0.1 

　　Router(Config)# access-list 10 deny any 

　　Router(Config)# ip http access-class 10 

　　Router(Config)# ip http server 

　　Router(Config)# exit

　　5．禁止BOOTp服务。

　　Router(Config)# no ip bootp server

　　禁止从【jìn zhǐ cóng】网络启😗动和自【dòng hé zì】🦁动从网🍿络下载初始配置文件【zhì wén jiàn】。

　　Router(Config)# no boot network 

　　Router(Config)# no servic config

　　6．禁止【jìn zhǐ】📚IP Source Routing。

　　Router(Config)# no ip source-route

　　7．建议如果不需【guǒ bú xū】💹要【yào】ARP-Proxy服务则🎚禁止它💰，路由器【lù yóu qì】默认识开启的。

　　Router(Config)# no ip proxy-arp 

　　Router(Config-if)# no ip proxy-arp

　　8．明确的【míng què de】禁止🚮IP Directed Broadcast。

　　Router(Config)# no ip directed-broadcast

　　9．禁止IP Classless。

　　Router(Config)# no ip classless

　　10．禁止ICMP协议的【xié yì de】🤬IP Unreachables,Redirects,Mask Replies。

　　Router(Config-if)# no ip unreacheables 

　　Router(Config-if)# no ip redirects 

　　Router(Config-if)# no ip mask-reply

　　11．建议禁止🦖SNMP协议服【xié yì fú】务【wù】。在禁止【zài jìn zhǐ】🦖时必须删除一🚖些【xiē】SNMP服务【wù】的默认配置【zhì】。或者需👎要访问🍂列表来过滤。如🏏:　

　　Router(Config)# no snmp-server community public Ro 

　　Router(Config)# no snmp-server community admin RW 

　　Router(Config)# no access-list 70 

　　Router(Config)# access-list 70 deny any 

　　Router(Config)# snmp-server community MoreHardPublic Ro 70 

　　Router(Config)# no snmp-server enable traps 

　　Router(Config)# no snmp-server system-shutdown 

　　Router(Config)# no snmp-server trap-anth 

　　Router(Config)# no snmp-server 

　　Router(Config)# end

　　12．如果没🙎必要则【bì yào zé】禁止WINS和DNS服务【fú wù】👹。

　　Router(Config)# no ip domain-lookup

　　如果需要则需要配置:

　　Router(Config)# hostname Router 

　　Router(Config)# ip name-server 202.102.134.96  

　　13．明确禁止不使用的端口。

　　Router(Config)# interface eth0/3 

　　Router(Config)# shutdown

三．路由器【lù yóu qì】“路由协议✍”的安全【de ān quán】配置😎

　　1．首先禁止默认启用的【qǐ yòng de】😈ARP-Proxy，它容易【tā róng yì】💱引起路由表的【yóu biǎo de】混乱🔤。

　　Router(Config)# no ip proxy-arp 或者【huò zhě】🔲 

　　Router(Config-if)# no ip proxy-arp 

　　2．启用【yòng】🕟OSPF路由协【lù yóu xié】🥚议的认【yì de rèn】证。默认的🎁OSPF认证密码是明【mǎ shì míng】文传输的，建议启用【yòng】🕟MD5认证。

　　并设置【bìng shè zhì】🏦一定强度密钥🙁(key,相对的【xiàng duì de】路由器【lù yóu qì】必须有♋相同的Key)。

　　Router(Config)# router ospf 100 

　　Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100 

　　! 启用MD5认证。 

　　! area area-id authentication 启用认证，是明文【shì míng wén】🈳密码认【mì mǎ rèn】📚证。 

　　!area area-id authentication message-digest 

　　Router(Config-router)# area 100 authentication message-digest 

　　Router(Config)# exit 

　　Router(Config)# interface eth0/1 

　　!启用🐏MD5密钥【mì yào】Key为routerospfkey。 

　　!ip ospf authentication-key key 启用认证密钥，但会是【dàn huì shì】🤪明文传【míng wén chuán】📌输。 

　　!ip ospf message-digest-key key-id(1-255) md5 key 

　　Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey 

　　3．RIP协议的认证。只有【zhī yǒu】🎩RIP-V2支持，RIP-1不支持【bú zhī chí】。建议启【jiàn yì qǐ】👜用🈵RIP-V2。

　　并且采【bìng qiě cǎi】💿用MD5认证【rèn zhèng】。普通认证【rèn zhèng】同样🆒是明文【shì míng wén】😼传输的。

　　Router(Config)# config terminal 

　　! 启用设置密钥链 

　　Router(Config)# key chain mykeychainname 

　　Router(Config-keychain)# key 1 

　　!设置密钥字串 

　　Router(Config-leychain-key)# key-string MyFirstKeyString 

　　Router(Config-keyschain)# key 2 

　　Router(Config-keychain-key)# key-string MySecondKeyString 

　　!启用RIP-V2 

　　Router(Config)# router rip 

　　Router(Config-router)# version 2 

　　Router(Config-router)# network 192.168.100.0 

　　Router(Config)# interface eth0/1 

　　! 采用【cǎi yòng】🏤MD5模式认证🔒，并选择【bìng xuǎn zé】已配置的密钥链【liàn】😸 

　　Router(Config-if)# ip rip authentication mode md5 

　　Router(Config-if)# ip rip anthentication key-chain mykeychainname  

　　4．启用【qǐ yòng】😔passive-interface命令可【mìng lìng kě】🍷以禁用一些不🌾需要接收和转发路由信息的端口【duān kǒu】。

　　建议对于不需🗿要路由【yào lù yóu】的端口，启用【qǐ yòng】😝passive-interface。

　　但是，在【zài】🕎RIP协议是✒只是禁🐈止转发🔕路由信【lù yóu xìn】息，并没有禁止接【jìn zhǐ jiē】收。在【zài】🕎OSPF协议中是禁止📺转发和接收路由信【lù yóu xìn】息。

　　! Rip中🥉，禁止端【jìn zhǐ duān】📝口0/3转发路由信息【yóu xìn xī】 

　　Router(Config)# router Rip 

　　Router(Config-router)# passive-interface eth0/3  

　　!OSPF中📣，禁止端【jìn zhǐ duān】口0/3接收和🚄转发路由信息【yóu xìn xī】 

　　Router(Config)# router ospf 100 

　　Router(Config-router)# passive-interface