CISCO路由器初始化必備安全指令。

一.路由器通路控制的安全設定 

1.嚴格控制能通路路由器的管理者。所有一次維護都需要記錄備案。

2.建議不要遠端通路路由器。即使需要遠端通路路由器，建議使用通路控制清單和高強度的密碼控制。 

3.嚴格控制CON端口的通路。具體的措施有： 

A.如果能開機箱的，則能切斷和CON口互聯的實體線路。 

B.能改動預設的連接配接屬性，例如修改波特率(預設是96000，能改為其他的)。 

C.配合使用通路控制清單控制對CON口的通路。 

如：Router(Config)#Access-list 1 permit 192.168.0.1

Router(Config)#line con 0

Router(Config-line)#Transport input none

Router(Config-line)#Login local

Router(Config-line)#Exec-timeoute 5 0

Router(Config-line)#access-class 1 in

Router(Config-line)#end

D.給CON口設定高強度的密碼。 

4.如果不使用AUX端口，則禁止這個端口。預設是未被啟用。禁止如： 

Router(Config)#line aux 0

Router(Config-line)#transport input none

Router(Config-line)#no exec

5.建議采用權限分級政策。如： 

Router(Config)#username BluShin privilege 10 G00dPa55w0rd

Router(Config)#privilege EXEC level 10 telnet

Router(Config)#privilege EXEC level 10 show ip access-list

6.為特權模式的進入設定強壯的密碼。不要采用enable password設定密碼。而要采用enable secret指令設定。并且要啟用Service password-encryption。 

7.控制對VTY的通路。如果不必遠端通路則禁止他。如果需要則一定要設定強壯的密碼。由于VTY在網絡的傳輸過程中為加密，是以需要對其進行嚴格的控制。如：設定強壯的密碼；控制連接配接的并發數目；采用通路清單嚴格控制通路的位址；能采用AAA設定使用者的通路控制等。 

8.IOS的更新和備份，及設定檔案的備份建議使用FTP代替TFTP。如： 

Router(Config)#ip ftp username BluShin

Router(Config)#ip ftp password 4tppa55w0rd

Router#copy startup-config ftp:

9.及時的更新和修補IOS軟體。

二.路由器網絡服務安全設定 

1.禁止CDP(Cisco Discovery Protocol)。如： 

Router(Config)#no cdp run 

Router(Config-if)# no cdp enable

2.禁止其他的TCP、UDP Small服務。 

Router(Config)# no service tcp-small-servers

Router(Config)# no service udp-samll-servers

3.禁止Finger服務。 

Router(Config)# no ip finger

Router(Config)# no service finger

4.建議禁止HTTP服務。 

Router(Config)# no ip http server 

如果啟用了HTTP服務則需要對其進行安全設定：設定使用者名和密碼；采用通路清單進行控制。如： 

Router(Config)# username BluShin privilege 10 G00dPa55w0rd 

Router(Config)# ip http auth local 

Router(Config)# no access-list 10

Router(Config)# access-list 10 permit 192.168.0.1 

Router(Config)# access-list 10 deny any 

Router(Config)# ip http access-class 10 

Router(Config)# ip http server

Router(Config)# exit 

5.禁止BOOTp服務。 

Router(Config)# no ip bootp server 

禁止從網絡啟動和自動從網絡下載下傳初始設定檔案。 

Router(Config)# no boot network 

Router(Config)# no servic config 

6.禁止IP Source Routing。 

Router(Config)# no ip source-route 

7.建議如果不必ARP-Proxy服務則禁止他，路由器預設識開啟的。 

Router(Config)# no ip proxy-arp 

Router(Config-if)# no ip proxy-arp 

8.明确的禁止IP Directed Broadcast。 

Router(Config)# no ip directed-broadcast 

9.禁止IP Classless。 

Router(Config)# no ip classless 

10.禁止ICMP協定的IP Unreachables,Redirects,Mask Replies。 

Router(Config-if)# no ip unreacheables

Router(Config-if)# no ip redirects

Router(Config-if)# no ip mask-reply

11.建議禁止SNMP協定服務。在禁止時必須删除一些SNMP服務的預設設定。或需要通路清單來過濾。如： 

Router(Config)# no snmp-server community public Ro

Router(Config)# no snmp-server community admin RW

Router(Config)# no access-list 70

Router(Config)# access-list 70 deny any

Router(Config)# snmp-server community MoreHardPublic Ro 70

Router(Config)# no snmp-server enable traps

Router(Config)# no snmp-server system-shutdown

Router(Config)# no snmp-server trap-anth

Router(Config)# no snmp-server

Router(Config)# end

12.如果沒必要則禁止WINS和DNS服務。 

Router(Config)# no ip domain-lookup 

如果需要則需要設定： 

Router(Config)# hostname Router 

Router(Config)# ip name-server 202.102.134.96 

13.明确禁止不使用的端口。 

Router(Config)# interface eth0/3 

Router(Config)# shutdown

本文轉自 qq8658868 51CTO部落格，原文連結：http://blog.51cto.com/hujizhou/1186351，如需轉載請自行聯系原作者