Cisco路由器安全配置方案WEB安全电脑资料

重庆永川江津合川双桥万盛南川涪陵长寿潼南铜梁大足荣昌璧山目前大多数的企事业单位和部门连Internet网，通常都是一台路由器与ISP连结实现。

这台路由器就是沟通外部Internet和内部网络的桥梁，如果这台路由器能够合理进行安全设置，那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。

现在大多数的路由器都是Cisco公司的产品或与其功能近似，本文在这里就针对Cisco 路由器的安全配置进行管理。

考虑到路由器的作用和位置，路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。

目前路由器（以Cisco为例）本身也都带有一定的安全功能，如访问列表、加密等，但是在缺省配置时，这些功能大多数都是关闭的。

需要进行手工配置。

怎样的配置才能最大的满足安全的需要，且不降低网络的性能？本文从以下几个部分分别加以说明：一.口令管理口令是路由器是用来防止对于路由器的非授权访问的主要手段，是路由器本身安全的一部分。

最好的口令处理方法是将这些口令保存在TACACS+或RADIUS认证服务器上。

但是几乎每一个路由器都要有一个本地配置口令进行权限访问。

如何维护这部分的安全？1．使用enable secretenable secret命令用于设定具有管理员权限的口令。

并且如果没有enable secret，则当一个口令是为控制台TTY设置的，这个口令也能用于远程访问。

这种情况是不希望的。

还有一点就是老的系统采用的是enable password，虽然功能相似，但是enable password采用的加密算法比较弱。

2．使用service password-encryption这条命令用于对存储在配置文件中的所有口令和类似数据（如CHAP）进行加密。

避免重庆永川江津合川双桥万盛南川涪陵长寿潼南铜梁大足荣昌璧山当配置文件被不怀好意者看见，从而获得这些数据的明文。

但是service password-encrypation 的加密算法是一个简单的维吉尼亚加密，很容易被破译。

思科路由器安全配置规范1. 前言路由器是网络安全的重要组成部分。

随着技术的不断进步，路由器的功能越来越多，但同时也给网络安全带来了更多的威胁。

为了保证网络的安全性，我们需要对路由器进行安全配置。

本文将介绍如何对思科路由器进行安全配置。

2. 密码设置2.1 登录密码登录密码是路由器安全性的第一道防线。

默认的密码较为简单，容易被入侵者破解。

建议初始化路由器时立即修改密码，并定期更改以提高安全性。

密码应该具有一定的复杂性，包含字母、数字和特殊符号，长度不少于8位。

2.2 特权密码特权密码用于进入特权模式，对路由器进行更改。

特权密码的复杂性等级应该和登录密码相同，长度不少于8位。

2.3 SNMP密码SNMP（简单网络管理协议）是一种用于管理网络设备的协议。

如果SNMP未加密传输，则其他人有可能获取到SNMP密码。

因此，建议将SNMP密码加密，并定期更改。

3. 端口安全路由器提供了很多端口，每个端口都具有一定的安全风险。

因此，对端口进行安全配置至关重要。

3.1 关闭不必要的端口有些端口由于功能不需要或者安全风险较大，建议关闭。

比如，路由器的Telnet端口，建议关闭，使用SSH代替。

3.2 使用ACL过滤ACL（访问控制列表）是一种机制，用于限制流入路由器的数据。

路由器的ACL功能非常强大，可以使用多种方式限制数据流，以保护网络安全。

4. 协议安全4.1 SSH代替TelnetSSH是一个安全的协议，可以取代不安全的Telnet。

使用SSH代替Telnet可以保护路由器的安全。

4.2 HTTPS代替HTTPHTTPS（超文本传输安全协议）是HTTP的安全版本。

使用HTTPS可以确保数据传输的安全性。

5. 系统安全5.1 定期备份定期备份路由器配置文件可以保证在路由器出现问题时，数据不会全部丢失。

建议至少每周备份一次。

5.2 版本管理定期检查路由器的固件版本，并根据需要进行更新。

更新路由器固件可以解决一些已知漏洞，提高安全性。

Cisco路由器安全配置方案一、路由器网络服务安全配置1禁止CDP(CiscoDiscoveryProtocol)。

如：Router(Config)#nocdprunRouter(Config-if)#nocdpenable2禁止其他的TCP、UDPSmall服务。

Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers3禁止Finger服务。

Router(Config)#noipfingerRouter(Config)#noservicefinger4建议禁止HTTP服务。

Router(Config)#noiphttpserver如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制。

5禁止BOOTp服务。

Router(Config)#noipbootpserver6禁止IPSourceRouting。

Router(Config)#noipsource-route7建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。

Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp8禁止IPDirectedBroadcast。

Router(Config)#noipdirected-broadcast9禁止IPClassless。

Router(Config)#noipclassless10禁止ICMP协议的IPUnreachables,Redirects,MaskReplies。

Router(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply11建议禁止SNMP协议服务。

按照下列说明来配置路由器以运行SDM。

步骤1：a.使用远程登录、SSH 或通过控制台来连接到您的路由器上。

b.使用该命令输入全球配置模式：Router>enableRouter#conf terminalRouter(config)#步骤2：要启用路由器的 HTTP/HTTPS 服务器，请使用下列 Cisco IOS 命令：Router(config)# ip http serverRouter(config)# ip http secure-serverRouter(config)# ip http authentication local注意：- 只有启用加密的IOS 映像才能启用HTTPS。

步骤3：使用权限级别15 来创建用户。

Router(config)# username <username> privilege 15 password 0 <password>注意：- 请使用您想配置的用户名和密码来替换<用户名> 和<密码>。

步骤4：为本地登录和权限级别15 配置SSH 和远程登录：Router(config)# line vty 0 4Router(config-line)# privilege level 15Router(config-line)# login localRouter(config-line)# transport input telnetRouter(config-line)# transport input telnet sshRouter(config-line)# exit步骤5：（可选）启用本地登录来支持日志监控功能：Router(config)# logging buffered 51200 warning。

CISCO设备也能WEB配置1 CISCO的极品管理工具SDM对于大多数中小企业网管而言,管理CISCO的网络设备是极大的挑战,那些令人望而生畏的命令行配置,绝对是一座难以逾越的高山。

我们不能奢望所有管理员都是CCNA/CCNP,那么如果CISCO也能像TP-LINK一样提供傻瓜化的WEB配置界面该有多好呀!其实早在几年前CISCO就提供了这个功能,只是藏在深闺人未知而已。

这就是CISCO公司针对一些初级人员推出的图形化管理工具Cisco Router and Security Device Manager(简称SDM),该工具利用WEB界面、Java技术和交互配置向导使得用户无需了解命令行接口(CLI)即可轻松地完成IOS路由器的状态监控、安全审计和功能配置。

当然,不要以为有了图形化管理工具就不去学习CISCO技术了,图形化管理工具只是替代命令的工具,有了它大家可以不用去记那么多复杂的命令了,但是原理依然要掌握,不然如果你连什么是VPN都不知道,该如何去配置呢?2 配置交换机以支持WEB功能要想使用WEB管理CISCO设备,首先要确认CISCO设备的IOS要支持WEB管理功能(目前的大部分中低端路由器包括8xx, 17xx, 18xx,26xx(XM), 28xx, 36xx, 37xx, 38xx, 72xx, 73xx等型号都已经可以支持SDM;CISCO的PIX产品上,使用的是PIX设备管理器PDM)。

确认你的PC可以访问CISCO设备的远程IP端口(假设CISCO设备的IP为192.168.1.200/24;你应该也在192.168.1.0/24的网段),则可telnet远程登录到CISCO设备(如果没有开telnet,则需要通过交换机上的console登录)具体配置如下Router>en//进入特权模式(需密码)Router#conf t //进入全局配置模式Router(config)#ip http server //如果这条命令可以用,说明IOS支持WEB管理Router(config)#ip http secure-server//如果这条命令可以用,说明你的IOS还支持HTTPS安全连接。

CISCO PIX防火墙及网络安全配置指南-电脑资料随着国际互连网的发展，一些企业建立了自己的INTRANET，并通过专线与INTERNET连通，CISCO PIX防火墙及网络安全配置指南为了保证企业内部网的安全，防止非法入侵，需要使用专用的防火墙计算机。

路由器防火墙只能作为过滤器，并不能把内部网络结构从入侵者眼前隐藏起来。

只要允许外部网络上的计算机直接访问内部网络上的计算机，就存在着攻击者可以损害内部局域网上机器的安全性，并从那里攻击其他计算机的可能性。

大多数提供代理服务的专用防火墙机器是基于UNIX系统的，这些操作系统本身就有安全缺陷。

CISCO提供了PIX (Private Internet eXchange，私有Internet交换)防火墙，它运行自己定制的操作系统，事实证明，它可以有效地防止非法攻击。

PIX防火墙要求有一个路由器连接到外部网络，如附图所示。

PIX 有两个 ETHERNET接口，一个用于连接内部局域网，另一个用于连接外部路由器。

外部接口有一组外部地址，使用他们来与外部网络通信。

内部网络则配置有一个适合内部网络号方案的IP地址。

PIX的主要工作是在内部计算机需要与外部网络进行通信时，完成内部和外部地址之间的映射。

配置好PIX防火墙后，从外部世界看来，内部计算机好象就是直接连接到PIX 的外部接口似的。

由于PIX的外部接口是Ethernet接口，所以，向主机传送信息包需要用到MAC地址。

为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的，PIX运行了代理ARP，代理ARP给外部网络层IP地址指定数据链路 MAC地址，这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。

大多数情况下，与外部网络的通信是从内部网络中发出的。

由于PIX 是对信息包进行操作，而不是在应用过程级（代理服务器则采用这种方法），PIX 既可以跟踪 UDP会话，也可以跟踪TCP连接。

Cisco路由器和交换机的安全设置1、禁用不需要的服务：no ip http server //这玩意儿的安全漏洞很多的no ip source-route //禁用IP源路由，防止路由欺骗no service finger //禁用finger服务no ip bootp server //禁用bootp服务no service udp-small-s //小的udp服务no service tcp-small-s //禁用小的tcp服务2、关闭CDPno cdp run //禁用cdp3、配置强加密与启用密码加密：service password-encryption //对password密码进行加密enable secret asdfajkls //配置强加密的特权密码no enable password //禁用弱加密的特权密码4、配置log server、时间服务及与用于带内管理的ACL等，便于进行安全审计service timestamp log datetime localtime //配置时间戳为dateti me方式，使用本地时间logging 192.168.0.1 //向192.168.0.1发送loglogging 192.168.0.2 //向192.168.0.2发送logaccess-list 98的主机进行通讯no access-list 99 //在配置一个新的acl前先清空该ACLaccess-list 99 permit 192.168.0.0 0.0.0.255access-list 99 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息no access-list 98 //在配置一个新的acl前先清空该ACLaccess-list 98 permit host 192.168.0.1access-list 98 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息clock timezone PST-8 //设置时区ntp authenticate //启用NTP认证ntp authentication-key 1 md5 uadsf //设置NTP认证用的密码，使用MD5加密。

CISCO路由器配置手册第一章路由器配置基础一、基本设置方式二、命令状态三、设置对话过程四、常用命令五、配置IP寻址六、配置静态路由第二章广域网协议设置一、HDLC二、PPP三、X.25四、Frame Relay五、ISDN六、PSTN第三章路由协议设置一、RIP协议二、IGRP协议三、OSPF协议四、重新分配路由五、IPX协议设置第四章服务质量及访问控制一、协议优先级设置二、队列定制三、访问控制第五章虚拟局域网（VLAN）路由一、虚拟局域网(VLAN)二、交换机间链路（ISL）协议三、虚拟局域网（VLAN）路由实例第一章路由器配置基础一、基本设置方式一般来说，可以用5种方式来设置路由器：1．Console口接终端或运行终端仿真软件的微机；2．AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连；3．通过Ethernet上的TFTP服务器；4．通过Ethernet上的TELNET程序； 5．通过Ethernet上的SNMP网管工作站。

但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下:波特率：9600数据位：8停止位：1奇偶校验: 无二、命令状态1. router>路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

2. router#在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。

3. router(config)#在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。

4. router(config-if)#; router(config-line)#;router(config-router)#;…路由器处于局部设置状态，这时可以设置路由器某个局部的参数。

Cisco路由器安全配置方案一、路由器网络服务安全配置1 禁止CDP(Cisco Discovery Protocol)。

如：Router(Config)#no cdp run Router(Config-if)# no cdp enable2 禁止其他的TCP、UDP Small服务。

Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers3 禁止Finger服务。

Router(Config)# no ip fingerRouter(Config)# no service finger4 建议禁止HTTP服务。

Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制。

5 禁止BOOTp服务。

Router(Config)# no ip bootp server6 禁止IP Source Routing。

Router(Config)# no ip source-route7 建议如果不需要ARP-Proxy 服务则禁止它，路由器默认识开启的。

Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp8禁止IP Directed Broadcast。

Router(Config)# no ip directed-broadcast9 禁止IP Classless。

Router(Config)# no ip classless10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。

Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply11 建议禁止SNMP协议服务。

本文档描述了如何增强网络中路由器的安全性，常见的使用方法和相应的配置命令和配置例子。

网络安全关闭不必要的服务关闭所有路由器或交换机上的不必要的服务，如Finger、Bootp、Http等；Command：Router(config)#no ip finger#关闭finger服务Router(config)# no ip bootp server#关闭bootp服务Router(config)# no ip http server#关闭http服务Example：Router(config)#no ip fingerRouter(config)# no ip bootp serverRouter(config)# no ip http server设置加密特权密码使用加密的特权密码，注意密码的选择：不要使用登录名，不管以何种形式（如原样或颠倒、大写和重复等）不要用名字的第一个、中间一个或最后一个字（不管是现用名还是曾用名）不要用最亲近的家人的名字（包括配偶、子女、父母和宠物）不要用其他任何容易得到的关于你的信息不要使用纯数字或完全同一个字母组成的口令不要使用在英文字典中的单词不要使用短于6位的口令不要将口令告诉任何人不要将口令电子邮件给任何人如果可能，应该使用大小写混合的字母使用包括非字母字符的口令使用容易记的口令，这样就不必将它写下来使用不用看键盘就可以很快键出的口令Command：Router(config)#enable secret <password>#设置加密的特权密码Example：Router(config)#enable secret @$!ainf0:#设置加密的特权密码为@$!ainf0:打开密码标记Command：Router(config)#service password-encryption#加密密码，原先使用明文显示的密码将会以密文方式出现Example：Router(config)#service password-encryption#加密明文密码Router#show running-config…line vty 0 4password ciscologging synchronouslogin!…Router#conf tEnter configuration commands， one per line. End with CNTL/Z.Router(config)#service password-encryptionRouter(config)#^ZRouter# show running-config…line vty 0 4password 7 01100F175804login…设置NTP server为了保证全网网络设备时钟的同步，必须在网络设备上配置NTP。

CISCO路由器设置完全手册文章主要分析了路由器设置方面的一些技巧，同时讲解了在使用BT/PPLive一些注意的要点，很多人都喜欢看网络电视，但是也会出现很多问题。

如何正确的进行路由器设置，是用户最为关心的问题，可能好多人还不了解如何在家庭使用中将路由器设置到最佳，没有关系，看完本文你肯定有不少收获，希望本文能教会你更多东西。

使用路由器设置共享上网后，在进行BT下载，收看PPLive视频时很多网友反应通过路由器设置无法进行BT下载，或者下载速度与PC直接连接网络时的下载相比甚慢，PPLive 也出现了同样的问题。

下文我们将以网件WGR614v7无线路由为例对二者剖析释疑，并给予解决之法或有效建议。

BT下载速度的快慢主要取决于BT的监听端口是否映射成功，该参数是可以在BT工具中自定义的。

监听端口若映射不成功将严重影响下载速率，种子数量极少的文件则可能完全无法下载，种子数量多的下载速率亦不会很快。

但经测试，BitComet的UPnP与WGR614v7(固件：V1.0.14/V1.3.16)的UPnP存在兼容性问题，最近出的最新版0.84亦不例外，而BitSpirit最新版3.2.2.215则能与路由器设置很好地协同工作，强烈推荐WGR614v7的用户使用。

以下行2M上行512K的ADSL为例，对应的最大下载上传速率分别为256KB/S和64KB/S，若BT的传输数据占用了所有带宽，那么不仅会使得其他应用无法正常使用，BT下载亦会受到影响，那是由于除传输数据以外，BT还有控制信息亦同时在传送，以此保证该应用的正常进行。

ADSL亦有通讯信息不断发送，保证宽带的正常连接。

因此强烈建议ADSL用户设置下载和上传的上限。

若内网有不止一个用户使用BT工具，那么需要注意BT的监听端口不要相同，且最好都设置下载上传上限，合理的带宽分配使各人的下载都得到保证。

即使无其他特别应用，所有PC的总的下载上传上限值亦尽量不要超过宽带最大带宽的80%。

cisco WEB界面配置路由器1·介绍1·1 背景信息1·2 目的2·准备工作2·1 获取路由器登录信息2·2 确定本地计算机连接路由器的方式 2·3 将计算机与路由器进行连接3·登录路由器3·1 打开Web浏览器3·2 输入路由器的IP地质3·3 输入登录凭据4·配置基本设置4·1 修改路由器的主机名4·2 配置域名解析器4·3 设置时区和时间5·配置接口5·1 查看接口列表5·2 配置接口IP地质5·3 启用/禁用接口5·4 配置接口描述6·配置静态路由6·1 查看当前路由表6·2 添加静态路由6·3 配置默认路由7·配置动态路由协议7·1 OSPF配置7·1·1 启用OSPF7·1·2 配置区域7·1·3 增加邻居关系 7·2 BGP配置7·2·1 启用BGP7·2·2 配置对等体7·2·3 配置网络声明8·配置网络地质转换（NAT）8·1 配置NAT池8·2 配置NAT策略8·3 验证NAT配置9·配置安全功能9·1 配置访问控制列表（ACL） 9·2 为VLAN配置ACL9·3 配置端口安全10·配置服务质量（QoS）10·1 配置分类器10·2 配置策略10·3 配置队列11·保存配置和重启路由器11·1 保存配置更改11·2 重启路由器附件：无法律名词及注释：●IP地质：Internet Protocol Address的缩写，用于唯一标识网络中的设备。

Cisco路由器交换机安全配置一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router 或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁： 1. DDOS攻击 2. 非法授权 ...一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：1. DDOS攻击2. 非法授权访问攻击。

口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

3.IP地址欺骗攻击….利用Cisco Router和Switch可以有效防止上述攻击。

二、保护路由器2.1 防止来自其它各省、市用户Ddos攻击最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。

Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。

如SMURF DDOS 攻击就是用最简单的命令ping做到的。

利用IP 地址欺骗，结合ping就可以实现DDOS攻击。

防范措施：应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击。

以下是引用片段：Router(config-t)#no service fingerRouter(config-t)#no service padRouter(config-t)#no service udp-small-serversRouter(config-t)#no service tcp-small-serversRouter(config-t)#no ip http serverRouter(config-t)#no service ftpRouter(config-t)#no ip bootp server以上均已经配置。

防止ICMP-flooging攻击。

以下是引用片段：Router(config-t)#int e0Router(config-if)#no ip redirectsRouter(config-if)#no ip directed-broadcastRouter(config-if)#no ip proxy-arpRouter(config-t)#int s0Router(config-if)#no ip redirectsRouter(config-if)#no ip directed-broadcastRouter(config-if)#no ip proxy-arp以上均已经配置。

保护网络从路由器做起浅谈CISCO路由器平安配置电脑资料路由器是网络中的神经中枢,广域网就是靠一个个路由器连接起来组成的,局域网中也已经普片的应用到了路由器,在很多企事业单位,已经用到路由器来接入网络进展数据通讯了,可以说,曾经神秘的路由器,如今已经飞入寻常百姓家了.随着路由器的增多,路由器的平安性也逐渐成为大家讨论的一个热门话题了,岩冰今天也讲一讲网络平安中路由器的平安配置吧.以下文章是本人在工作过程中所记录的学习笔记,今天出来,跟大家共享,也算是抛砖引玉吧.1.配置访问控制列表:使用访问控制列表的目的就是为了保护路由器的平安和优化网络的流量.访问列表的作用就是在数据包经过路由器某一个端口时,该数据包是否允许转发通过,必须先在访问控制列表里边查找,假设允许,那么通过.所以,保护路由器的前提,还是先考虑配置访问控制列表吧. 访问列表有多种形式,最常用的有标准访问列表和扩展访问列表.创立一个标准访问控制列表的根本配置语法:aess-list aess-list-number{deny|permit} source [source-wildcard]注释:aess-list-number是定义访问列表编号的一个值,范围从1--99.参数deny或permit指定了允许还是回绝数据包.参数source是发送数据包的主机地址.source-wildcard那么是发送数据包的主机的通配符.在实际应用中,假设数据包的源地址在访问列表中未能找到,或者是找到了未被允许转发,那么该包将会被回绝.为了能详细解释一下,下面是一个简单访问列表例如介绍:1) aess-list 3 permit 172.30.1.0 0.0.0.255 */指明一个列表号为3的访问控制列表,并允许172.30.1.0这个网段的数据通过.0.0.0.255是通配符.2) aess-list 3 permit 10.1.1.0 0.0.15.255 */允许所有源地址为从10.1.0.0到10.1.15.255的数据包通过应用了该访问列表的路由器接口.3) aess-list 3 deny 172.31.1.0 0.0.0.255 */回绝源IP地址为172.31.1.0到172.31.1.255的数据包通过该访问列表.配置了访问列表后,就要启用访问控制列表,我们可以在接口配置形式下使用aess-group或ip aess-class命令来指定访问列表应用于某个接口.使用关键字in(out)来定义该接口是出站数据包还是入站数据包.例如:ip aess-group 3 in */定义该端口入站数据包必须按照访问列表3上的原那么.由于标准访问控制列表对使用的端口不进展区别,所以,引入了扩展访问控制列表(列表号从100--199).扩展访问列表可以对数据包的源地址,目的地址和端口等工程进展检查,这其中,任何一个工程都可以导致某个数据包不被允许经过路由器接口.简单的配置例如:1) ip aess-list 101 permit tcp any host 10.1.1.2 established log2) ip aess-list 101 permit tcp any host 172.30.1.3 eq log3) ip aess-list 101 permit tcp any host 172.30.1.4 eq ftp log4) ip aess-list 101 permit tcp any host 172.30.1.4 log注释:第一行允许通过TCP协议访问主机10.1.1.2,假设没个连接已经在主机10.1.1.2和某个要访问的远程主机之间建立,那么该行不会允许任何数据包通过路由器接口,除非回话是从内部企业网内部发起的.第二行允许任何连接到主机172.30.1.3来恳求效劳,而所有其他类型的连接将被回绝,这是因为在访问列表自动默认的在列表尾部,有一个deny any any语句来限制其他类型连接.第三行是回绝任何FTP连接来访问172.30.1.4主机.第四行是允许所有类型的访问连接到172.30.1.4主机.2.保护路由器的密码1)禁用enable password命令,改密码加密机制已经很古老,存在极大平安破绽,必须禁用,做法是:no enable password2)利用enable secret命令设置密码,该加密机制是IOS采用了MD5散列算法进展加密,详细语法是:enable secret[level level] {password|encryption-type encrypted-password}举例:Ro(config-if)#enable secret level 9 ~@~!79#^&^089^ */设置一个级别为9级的~@~!79#^&^089^密码Ro(config-if)#service router-encryption */启动效劳密码加密过程enable secret命令允许员通过数字0-15,来指定密码加密级别.其默认级别为15.3.控制tel访问控制为了保护路由器访问控制权限,必须限制登陆访问路由器的主机,针对VTY(tel)端口访问控制的方法,详细配置要先建立一个访问控制列表,如下例如,建立一个标准的访问控制列表(编号从1--99任意选择):aess-list 90 permit 172.30.1.45aess-list 90 permit 10.1.1.53该访问列表仅允许以上两个IP地址之一的主机对路由器进展tel访问,注意:创立该列表后必须指定到路由器端口某个端口上,详细指定方法如下:line vty E0 4aess-class 90 in以上配置是入站到E0端口的tel例如,出站配置采用out,在这里将不再详细赘述.为了保护路由器的平安设置,也可以限制其tel访问的权限,比方:通过分配管理密码来限制一个管理员只能有使用show 命令的配置如下:enable secret level 6 123456privilege exec 6 show给其分配密码为123456,tel进入路由器后,只能用show命令,其他任何设置权限全部被限制.另外,也可以通过访问时间来限制所有端口的登陆访问情况,在超时的情况下,将自动断开,下面是一个配置所有端口访问活动3分30秒的设置例如:exec-timeout 3 304.制止CDPCDP(Cisco Discovery Protocol)CISCO查找协议,该协议存在CISCO11.0以后的IOS版本中,都是默认启动的,他有一个缺陷就是:对所有发出的设备恳求都做出应答.这样将威胁到路由器的泄密情况,因此,必须制止其运行,方法如下:no cdp run管理员也可以指定制止某端口的CDP,比方:为了让路由器内部网络使用CDP,而制止路由器对外网的CDP应答,可以输入以下接口命令: no cdp enable5.效劳的配置如今许多CISCO设备,都允许使用WEB界面来进展控制配置了,这样可以为初学者提供方便的管理,但是,在这方便的背后,却隐藏了很大的危机,为了可以配置好效劳,本文也提一下如何配置吧.使用ip server命令可以翻开效劳,使用no ip server命令可以关闭效劳.为了平安考虑,假设需要使用效劳来管理路由器的话,最好是配合访问控制列表和AAA认证来做,也可以使用enable password命令来控制登陆路由器的密码.详细的配置是在全局形式下来完成的,下面是我们创立一个简单的标准访问控制列表配合使用效劳的例如: ip server */翻开效劳ip port 10248 */定义10248端口为效劳访问端口aess-list 80 permit host 10.0.0.1 */创立标准访问列表80,只允许10.0.0.1主机通过ip aess-class 80 */定义了列表号为80的标准访问列表为效劳允许访问的ip authentication aaa tacacs */增加AAA认证效劳来验证控制的主机6.写在最后的话保护路由器并不是这样简单的事情,在很多实际应用中,还需要很多辅助配置.为了保护路由器,各种各样的平安产品都相继出现,比方给路由器添加硬件防火墙,配置AAA效劳认证,设置IDS入侵检测等等吧.为了维护路由器的平安稳定工作,我要告诉大家最重要的还是配置最小化IOS,没有效劳的设备,肯定没有人可以入侵,最小化的效劳就是我们最大化的平安，。

cisco WEB界面配置路由器本文档旨在详细介绍如何通过 Cisco Web 界面配置路由器。

请按照以下章节逐步操作。

第一章：准备工作1.1 确保路由器已正确连接到网络。

1.2 确保已获得适当的访问权限（管理员权限）。

第二章：登录到 Cisco Web 界面2.1 在任意 Web 浏览器中输入路由器的 IP 地质。

2.2 输入管理员用户名和密码以登录到 Cisco Web 界面。

第三章：配置基本设置3.1 在 Cisco Web 界面中，导航到“基本设置”选项卡。

3.2 配置路由器的主机名和域名。

3.3 配置路由器的时区和时钟同步设置。

3.4 配置路由器的管理接口和 SSH 访问。

第四章：配置接口4.1 导航到“接口配置”选项卡。

4.2 根据需要，为不同接口配置 IP 地质、子网掩码和其他网络参数。

4.3 配置 VLAN 和交换机端口（如果有）。

第五章：配置路由和路由协议5.1 导航到“静态路由”选项卡。

5.2 配置静态路由，将目标网络指向适当的下一跳地质。

5.3 根据需要，配置动态路由协议（例如 OSPF、EIGRP）。

第六章：配置安全特性6.1 导航到“安全”选项卡。

6.2 配置访问控制列表（ACL）以限制访问。

6.3 配置 NAT（网络地质转换）以实现内部和外部网络之间的通信。

第七章：配置服务7.1 导航到“服务配置”选项卡。

7.2 配置 DHCP 服务器以为内部网络分配 IP 地质。

7.3 配置 DNS 服务器以解析域名。

7.4 配置其他服务（例如 NTP、SNMP）。

第八章：保存和应用配置更改8.1 导航到“配置管理”选项卡。

8.2 选择“保存配置”以保存当前配置。

8.3 选择“应用配置更改”以使配置更改生效。

附件：- 本文档未涉及附件。

法律名词及注释：- 本文档未涉及法律名词及注释。

给网络设备一个平安的管理环境电脑资料如何保障网络平安设备的平安，是网络员必须考虑的一个问题，为了使得网络设备的管理与维护更加的便利，许多网络设备厂商都在自己的产品中实现了效劳器，以建立一个穿插平台的、易于管理的图形化解决方案。

用户可以通过WEB图形化界面对网络设备进展管理。

思科在这方面当然也有类似的处理机制。

不过思科在这方面比其他厂商走先了一步。

多数的思科网络设备，拥有一整套机制来进展认证和限制远程访问。

网络管理员必须牢记，嵌入到网络根底设施设备的客户机和效劳器之间的通信应当是平安的。

思科为此提供了一整套解决方案。

假设网络管理员可以通过合理的配置，那么思科设备的平安性是毋庸置疑的。

1、在必要的时候开启效劳器。

其实对于大部分有经历的网络管理员来说，都不习惯利用WEB界面来管理网络设备。

如笔者，如今都是通过命令行来进展配置。

因为这不仅平安，而且，还可以进步管理的效率。

所以通常情况下，思科大部分产品默认情况下，都关闭了效劳器。

可见，思科专家们也不是很鼓励我们网络管理员通过WEB形式来管理他们的网络设备。

一般情况下，只有刚接触思科网络设备的菜鸟才会通过图形化的管理界面来熟悉思科的网络设备。

2、假设实在需要开启效劳器的话，那么需要进展相关的平安配置，来保障连接的准确性。

虽然思科不建议我们通过协议来管理思科网络设备，但是，我们网络管理员仍然可以使用WEB阅读器来绝大部分的IOS命令。

通过使用WEB阅读器界面可以访问思科的大多数管理功能。

思科网络设备的大部分管理功能都可以通过协议来配置。

思科效劳器程序它是思科IOS管理软件的一个嵌入式组件，他允许特权级别(或其他任何配置的优先级别)为15用户通过阅读器来访问思科设备。

假设要启用效劳器来管理思科网络设备，需要通过如下步骤。

(1)启用效劳。

上面笔者已经说过，思科不少的网络设备，默认情况下都没有开启效劳。

所以，网络管理员假设需要采用这个效劳的话，那么必须手工的启动它。