对网络提供服务关闭及恶意信息过滤等功能,提升网络设备自身安全保护能力
增强功能 | 说明 | |
1 | 关闭非安全网络服务及功能 | 网络设备自身提供许多网络服务,如Telnet、Finger、HTTP等 应尽量不提供网络服务,或者关闭危险网络服务,或者限制网络服务范围 |
2 | 信息过滤 | ①过滤恶意路由信息,控制网络垃圾信息流 Router(Config) # access-list 10 deny 192.168.1.0 0.0.0.255 Router(Config) # access-list 10 permit any ②禁止路由器接收更新192.168.1.0网络路由信息 Router(Config) # router ospf 100 # 进程号100 Router(Config-router) # distribute-list 10 in ③禁止路由器转发传播192.168.1.0网络路由信息 Router(Config) # router ospf 100 Router(Config-router) # distribute-list 10 out ④禁止默认启用ARP-Proxy,避免引起路由表混乱 Router(Config) # no ip proxy-arp Router(Config-if) # no ip proxy-arp |
3 | 协议认证 | 为保证路由协议正常运行,用户在配置路由器时要使用协议认证,避免路由器得到一些错误路由信息,产生IP寻址错误,造成网络瘫痪 ①启用OSPF路由协议认证 Router(Config)# router ospf 100 Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100 # 将网络192.168.100.0/24划分到OSPF区域100中 # 启用MD5认证 Router(Config-router)# area 100 authentication message-digest Router(Config)# exit Router(Config)# interface eth0/1 # 启用MD5密钥 Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey ②RIP协议认证 # 启用RIP-V2,且采用MD5认证 Router (config)# config terminal # 启用设置密钥链 Router(config)# key chain mykeychainname // 配置keychain名称 Router(Config-keychain)# key 1 // 配置key值 # 设置密钥字串 Router(Config-leychain-key)# key-string MyFirstKeystring // 配置加密字符串 Router(Config-keyschain)# key 2 Router(Config-keychain-key)# key-string MySecondKeystring #启用RIP-V2 Router(Config)# router rip Router(config-router) # version 2 Router(Config-router) # network 192.168.100.0 Router(Config)# interface eth0/1 #采用MD5模式认证,选择已配置密钥链 Router(Config-if)# ip rip authentication mode md5 // 配置加密类型(md5|text) Router(Config-if)# ip rip anthentication key-chain mykeychainname // 配置加密所用keychain ③启用IP Unicast Reverse-Path Verification(防止IP Spooling) Router# config t # 启用CEF Router(Config)# ip cef # 启用Unicast Reverse-Path verification Router(Config) # interface eth0/1 Router(Config)# ip verify unicast reverse-path |