日期:2015-09-28 点击: 关键词:思科Cisco Catalyst交换机安全配置方法
思科Cisco Catalyst交换机安全配置方法:为防患网络安全隐患,建议在每台cisco设备上采取如下措施:
1. 配置坚固的口令
使用enable secret ,选择包括字母,数字和特殊字符的密码 Eg:$PECIAL$
Router(config)#enablesecret $PECIAL$
2. 使用acl
使用acl来限制管理访问和远程接入,防止对管理接口的非授权访问和dos攻击
3. 确保设别物理安全
4. 确保vty接入安全
通过使用acl
配置坚固的vty接入口令
使用ssh2
5. 配置警告语
6. 禁用不必要的服务
多层交换网络中通常不使用下列服务
Tcp small server(echo chargendiscard daytime)
Udp small server(echo chargendiscard daytime)
Finger
自动配置
Pad
Bootp
标识服务
不进行身份验证的ntp
源路由选择
Ip代理arp
Icmp不可达
Icmp 重定向
定向广播转发
Mop
7. 尽可那少用cdp
Cdp原则:在每个接口上禁用cdp只在管理需要是才运行cdp;只在控制范围内的设备上运行cdp;不要在不安全的链接上使用cdp例如:internet
8. 禁用集成的http后台程序
在基于ios的软件的交换机中默认是禁用集成的http服务器,如果http访问是必不可少的应使用另一个http端口,并通过使用acl只允许受信任的子网和工作站访问。
Noip http server
9. 配置基本的系统日志
使用日志工具来监控交换机系统信息,默认的缓冲区大小不足以记录大部分事件。
10. 确保snmp的安全
尽可能避免使用snmp读写特性,应使用snmpv3和经过加密的口令
11. 限制链路聚集连接和vlan传播
手工或使用vtp来删除干道上未使用的vlan,防止未经授权的链路聚集。
12. 确保生成树拓扑的安全
通过配置网桥优先级,避免因新交换机加入网络而无意间移动stp跟
企业通讯
