思科作為路由行業(yè)中的領(lǐng)軍人物，其產(chǎn)品在市場中的需求量很高，這里就針對Cisco 路由器，講解如何對路由器進(jìn)行有效的安全加固。根據(jù)木桶理論，一個(gè)桶能裝多少水，取決于這個(gè)桶最短的那塊木板。具體到信息系統(tǒng)的安全也是一樣，整個(gè)信息系統(tǒng)的安全程度也取決于信息系統(tǒng)中最薄弱的環(huán)節(jié)，網(wǎng)絡(luò)做為信息系統(tǒng)的體，其安全需求的重要性是顯而易見的。 

網(wǎng)絡(luò)層面的安全主要有兩個(gè)方面，一是數(shù)據(jù)層面的安全，使用ACL等技術(shù)手段，輔助應(yīng)用系統(tǒng)增強(qiáng)系統(tǒng)的整體安全；二是控制層面的安全，通過限制對網(wǎng)絡(luò)設(shè)備自身的訪問，增強(qiáng)網(wǎng)絡(luò)設(shè)備自身的安全性。

一、 控制層面主要安全威協(xié)與應(yīng)對原則 

網(wǎng)絡(luò)設(shè)備的控制層面的實(shí)質(zhì)還是運(yùn)行的一個(gè)操作系統(tǒng)，既然是一個(gè)操作系統(tǒng)，那么，其它操作系統(tǒng)可能遇到的安全威脅網(wǎng)絡(luò)設(shè)備都有可能遇到；總結(jié)起來有如下幾個(gè)方面： 

1、 系統(tǒng)自身的缺陷：操作系統(tǒng)作為一個(gè)復(fù)雜系統(tǒng)，不論在發(fā)布之前多么仔細(xì)的進(jìn)行測試，總會有缺陷產(chǎn)生的。出現(xiàn)缺陷后的唯一辦法就是盡快給系統(tǒng)要上補(bǔ)丁。Cisco IOS/Catos與其它通用操作系統(tǒng)的區(qū)別在于，IOS/Catos需要將整個(gè)系統(tǒng)更換為打過補(bǔ)丁的系統(tǒng)。
 
2、 系統(tǒng)缺省服務(wù)：與大多數(shù)能用操作系統(tǒng)一樣，IOS與CatOS缺省情況下也開了一大堆服務(wù)，這些服務(wù)可能會引起潛在的安全風(fēng)險(xiǎn)，解決的辦法是按最小特權(quán)原則，關(guān)閉這些不需要的服務(wù)。 

3、 弱密碼與明文密碼：在IOS中，特權(quán)密碼的加密方式強(qiáng)加密有弱加密兩種，而普通存取密碼在缺省情況下則是明文；
 
4、 非授權(quán)用戶可以管理設(shè)備：既可以通過telnet\snmp通過網(wǎng)絡(luò)對設(shè)備進(jìn)行帶內(nèi)管理，還可以通過console與aux口對設(shè)備進(jìn)行帶外管理。缺省情況下帶外管理是沒有密碼限制的。隱含較大的安全風(fēng)險(xiǎn)； 

5、 CDP協(xié)議造成設(shè)備信息的泄漏； 

6、 DDOS攻擊導(dǎo)致設(shè)備不能正常運(yùn)行，解決方案，使用控制面策略，限制到控制層面的流量； 

7、 發(fā)生安全風(fēng)險(xiǎn)之后，缺省審計(jì)功能。
 
二、 Cisco 路由器IOS加固 

對于12.3(4)T之后的IOS版本，可以通過autosecure命令完成下述大多數(shù)功能，考慮到大部分用戶還沒有條件升級到該IOS版本，這里仍然列出需要使用到的命令行：

1、Cisco 路由器如何禁用不需要的服務(wù)： 
no ip http server　　
no ip source-route　　 //禁用IP源路由，防止路由欺騙 
no service finger //禁用finger服務(wù)　 
no ip bootp server　　　//禁用bootp服務(wù) 
no service udp-small-s //小的udp服務(wù) 
no service tcp-small-s //禁用小的tcp服務(wù) 

2、Cisco 路由器如何關(guān)閉CDP：
no cdp run //禁用cdp 

3、Cisco 路由器配置強(qiáng)加密與啟用密碼加密： 
service password-encryption　
enable secret asdfajkls　　　//配置強(qiáng)加密的特權(quán)密碼 
no enable password　　　　　 //禁用弱加密的特權(quán)密碼 

4、Cisco 路由器配置log server、時(shí)間服務(wù)及與用于帶內(nèi)管理的ACL等，便于進(jìn)行安全審計(jì)：
service timestamp log datetime localtime  
logging 192.168.0.1 //向192.168.0.1發(fā)送log 
logging 192.168.0.2 //向192.168.0.2發(fā)送log 
access-list 98的主機(jī)進(jìn)行通訊 
no access-list 99 //在配置一個(gè)新的acl前先清空該ACL 
access-list 99 permit 192.168.0.0 0.0.0.255 
access-list 99 deny any log
no access-list 98
access-list 98 permit host 192.168.0.1 
access-list 98 deny any log
clock timezone PST-8 //設(shè)置時(shí)區(qū) 
ntp authenticate　　　　　　 //啟用NTP認(rèn)證 
ntp authentication-key 1 md5 uadsf
ntp trusted-key 1　　　　　　　　　　//可以信任的Key. 
ntp acess-group peer 98 //設(shè)置ntp服務(wù)，只允許對端為符合access-list 98條件的主機(jī) 
ntp server 192.168.0.1 key 1　　　　
 
5、對帶內(nèi)管理行為進(jìn)行限制： 
snmp-server community HSDxdf ro 98
line vty 0 4 
access-class 99 in
login 
password 0 asdfaksdlf　　　　//配置telnet密碼 
exec-timeout 2 0　　　　　　 //配置虛終端超時(shí)參數(shù)，這里是2分鐘 
 
6、對帶外管理行為進(jìn)行限制： 
line con 0 
login 
password 0 adsfoii //配置console口的密碼 
exec-timeout 2 0　　　　　　 //配置console口超時(shí)參數(shù)，這里是兩分鐘 
line aux 0 
transport input none 
password 0 asfdkalsfj　　　　 
no exec 
exit 

三、 Cisco 路由器CatOS加固 

1、 禁用不需要的服務(wù)： 
set cdp disable //禁用cdp 
set ip http disable 　　  

2、 配置時(shí)間及日志參數(shù)，便于進(jìn)行安全審計(jì)： 
set logging timestamp enable //啟用log時(shí)間戳 
set logging server 192.168.0.1 //向192.168.0.1發(fā)送log 
set logging server 192.168.0.2 //向192.168.0.2發(fā)送log! 
set timezone PST-8 //設(shè)置時(shí)區(qū) 
set ntp authenticate enable　　　　　　 //啟用NTP認(rèn)證 
set ntp key 1 md5 uadsf
set ntp server 192.168.0.1 key 1　
set ntp client enable //啟用ntp client 

3、 限制帶內(nèi)管理： 
set snmp community HSDxdf //配置snmp只讀通訊字 
set ip permit enable snmp //啟用snmp訪問控制 
set ip permit 192.168.0.1 snmp　
set ip permit enable telnet
set ip permit 192.168.0.1 telnet　
set password //配置telnet密碼 
set enable 　 　 //配置特權(quán)密碼 
set logout 2