|
思科路由器安全性管理
資源天下 2019/8/14 7:26:02
對(duì)Cisco思科路由器的安全性管理主要包括:建立口令以保護(hù)訪問(wèn)Cisco思科路由器的安全����,使用正確的訪問(wèn)表以管理通過(guò)Cisco思科路由器的可接受數(shù)據(jù)流等�。
1、口令管理
下面顯示了設(shè)置控制從終端進(jìn)行訪問(wèn)的口令的命令�。
命令 操作效果
Line console 0 為控制臺(tái)終端建立一個(gè)口令
Line vty 0 4 telnet連接建立一個(gè)口令
Enable-password 為特權(quán)exec模式建立一個(gè)口令
Enable-secret 使用MD5加密方法建立密碼口令
Service password-encryption 保護(hù)口令,避免其通過(guò)idsplay命令
將口令顯示出來(lái)
2��、報(bào)文過(guò)濾
cisco的防火墻功能主要是通過(guò)報(bào)文的過(guò)濾實(shí)現(xiàn)的�。
它可以實(shí)現(xiàn)對(duì)多種數(shù)據(jù)流的控制,如限制流入��、以及流出等���。通過(guò)對(duì)訪問(wèn)列表的編寫(xiě)���,我們可以實(shí)現(xiàn)對(duì)特定網(wǎng)絡(luò)或主機(jī)的數(shù)據(jù)流限制����。
Accsess-list 的編號(hào)有特定的范圍:
﹤1-99﹥ IP standard access list
﹤100-199﹥ IP extended access list
﹤1100-1199﹥ Extended 48-bit MAC address access list
﹤200-299﹥ Protocol type-code access list
﹤700-799﹥ 48-bit MAC address access list
例如我們可以定義如下的訪問(wèn)表來(lái)實(shí)現(xiàn)允許任何主機(jī)到主機(jī)160..10.2.101的報(bào)文:
Accsess-list 101 permit ip any host 160.10.2.101
而下面的語(yǔ)句允許使用客戶源端口(小于1024的端口留給服務(wù)器用)方式的主機(jī)發(fā)往160.10.2.100的udp報(bào)文通過(guò)��,且報(bào)文的目的端口必須為dns端口(53)���。其中g(shù)t為great than�。
Accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53
建立好訪問(wèn)列表以后�,要想讓它進(jìn)行報(bào)文過(guò)濾,必須將它應(yīng)用到端口上�����。在進(jìn)入要控制的端口后��,用如下的命令應(yīng)用此訪問(wèn)表:
router(config-if)#ip access-group 101 in
其中的in表示對(duì)向里(針對(duì)此端口來(lái)說(shuō))的數(shù)據(jù)進(jìn)行過(guò)濾��。要注意的是�����,一個(gè)端口只能有一個(gè)向里和向外的列表���,如果有幾個(gè)�,則只有第一個(gè)起作用。
|