cisco路由器关闭一些不必要的服务

www.net130.com     日期:2012-4-18    浏览次数:

五、IP源路由

应该在所有的路由器上关闭,包括边界路由器。可以使用下面的命令:Router(config)#no ip source-route禁止对带有源路由选项的IP数据包的转发。

六、FTP和TFTP

路由器可以用作FTP服务器和TFTP服务器,可以将映像从一台路由器复制到另一台。建议不要使用这个功能,因为FTP和TFTP都是不安全的协议。

默认地,FTP服务器在路由器上是关闭的,然而,为了安全起见,仍然建议在路由器上执行以下命令:Router(config)#no ftp-server write-enable (12.3版本开始)Router(config)#no ftp-server enable

可以通过使用一个FTP客户端从PC进行测试,尝试建立到路由器的连接。
七、HTTP

测试方法可以使用一个Web浏览器尝试访问路由器。还可以从路由器的命令提示符下,使用下面的命令来进行测试:Router#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443

要关闭以上两个服务以及验证,执行以下的步骤:Router(config)#no ip http serverRouter(config)#no ip http secure-serverRouter#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443

Cisco安全设备管理器(Security Device Manager,SDM)用HTTP访问路由器,如果要用SDM来管理路由器,就不能关闭HTTP服务。

如果选择用HTTP做管理,应该用ip http access-class命令来限制对IP地址的访问。此外,也应该用ip http authentication命令来配置认证。对于交互式登录,HTTP认证最好的选择是使用一个TACACS+或RADIUS服务器,这可以避免将enable口令用作HTTP口令。

八、SNMP

SNMP可以用来远程监控和管理Cisco设备。然而,SNMP存在很多安全问题,特别是SNMP v1和v2中。要关闭SNMP服务,需要完成以下三件事:

*从路由器配置中删除默认的团体字符串;

*关闭SNMP陷阱和系统关机特征;

*关闭SNMP服务。

要查看是否配置了SNMP命令,执行show running-config命令。

下面显示了用来完全关闭SNMP的配置:Router(config)#no snmp-server community public RORouter(config)#no snmp-server community private RWRouter(config)#no snmp-server enable trapsRouter(config)#no snmp-server system-shutdownRouter(config)#no snmp-server trap-authRouter(config)#no snmp-server

前两个命令删除了只读和读写团体字符串(团体字符串可能不一样)。接下来三个命令关闭SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上关闭SNMP服务。关闭SNMP服务之后,使用show snmp命令验证。

本新闻共3页,当前在第2页  1  2  3  

分享道
相关新闻