日期:2015-09-28 點擊: 關鍵詞:思科Cisco Catalyst交換機安全配置方法
思科Cisco Catalyst交換機安全配置方法:為防患網絡安全隱患,建議在每臺cisco設備上采取如下措施:
1. 配置堅固的口令
使用enable secret ,選擇包括字母,數字和特殊字符的密碼 Eg:$PECIAL$
Router(config)#enablesecret $PECIAL$
2. 使用acl
使用acl來限制管理訪問和遠程接入,防止對管理接口的非授權訪問和dos攻擊
3. 確保設別物理安全
4. 確保vty接入安全
通過使用acl
配置堅固的vty接入口令
使用ssh2
5. 配置警告語
6. 禁用不必要的服務
多層交換網絡中通常不使用下列服務
Tcp small server(echo chargendiscard daytime)
Udp small server(echo chargendiscard daytime)
Finger
自動配置
Pad
Bootp
標識服務
不進行身份驗證的ntp
源路由選擇
Ip代理arp
Icmp不可達
Icmp 重定向
定向廣播轉發
Mop
7. 盡可那少用cdp
Cdp原則:在每個接口上禁用cdp只在管理需要是才運行cdp;只在控制范圍內的設備上運行cdp;不要在不安全的鏈接上使用cdp例如:internet
8. 禁用集成的http后臺程序
在基于ios的軟件的交換機中默認是禁用集成的http服務器,如果http訪問是必不可少的應使用另一個http端口,并通過使用acl只允許受信任的子網和工作站訪問。
Noip http server
9. 配置基本的系統日志
使用日志工具來監控交換機系統信息,默認的緩沖區大小不足以記錄大部分事件。
10. 確保snmp的安全
盡可能避免使用snmp讀寫特性,應使用snmpv3和經過加密的口令
11. 限制鏈路聚集連接和vlan傳播
手工或使用vtp來刪除干道上未使用的vlan,防止未經授權的鏈路聚集。
12. 確保生成樹拓撲的安全
通過配置網橋優先級,避免因新交換機加入網絡而無意間移動stp跟
企業通訊
