何為思科路由器安全性管理
時間:
若木1由 分享
大家都知道,路由器是我們常用的網(wǎng)絡(luò)設(shè)備,而對于它的安全,我們應(yīng)對進行一些具體的操作來管理。
一、口令管理
下面顯示了設(shè)置控制從終端進行訪問的口令的命令。
命令 操作效果
Line console 0 為控制臺終端建立一個口令
Line vty 0 4 telnet連接建立一個口令
Enable-password 為特權(quán)exec模式建立一個口令
Enable-secret 使用MD5加密方法建立密碼口令
Service password-encryption 保護口令,避免其通過idsplay命令
將口令顯示出來
二、報文過濾
cisco的防火墻功能主要是通過報文的過濾實現(xiàn)的。
它可以實現(xiàn)對多種數(shù)據(jù)流的控制,如限制流入、以及流出等。通過對訪問列表的編寫,我們可以實現(xiàn)對特定網(wǎng)絡(luò)或主機的數(shù)據(jù)流限制。
Accsess-list 的編號有特定的范圍:
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<200-299> Protocol type-code access list
<700-799> 48-bit MAC address access list
例如我們可以定義如下的訪問表來實現(xiàn)允許任何主機到主機160..10.2.101的報文:
Accsess-list 101 permit ip any host 160.10.2.101
而下面的語句允許使用客戶源端口(小于1024的端口留給服務(wù)器用)方式的主機發(fā)往160.10.2.100的udp報文通過,且報文的目的端口必須為dns端口(53)。其中g(shù)t為great than。
Accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53
建立好訪問列表以后,要想讓它進行報文過濾,必須將它應(yīng)用到端口上。在進入要控制的端口后,用如下的命令應(yīng)用此訪問表:
router(config-if)#ip access-group 101 in
其中的in表示對向里(針對此端口來說)的數(shù)據(jù)進行過濾。要注意的是,一個端口只能有一個向里和向外的列表,如果有幾個,則只有第一個起作用。
其實,對思科路由器的安全性管理主要包括建立口令以保護訪問思科路由器的安全,使用正確的訪問表以管理通過Cisco思科路由器的可接受數(shù)據(jù)流等。
一、口令管理
下面顯示了設(shè)置控制從終端進行訪問的口令的命令。
命令 操作效果
Line console 0 為控制臺終端建立一個口令
Line vty 0 4 telnet連接建立一個口令
Enable-password 為特權(quán)exec模式建立一個口令
Enable-secret 使用MD5加密方法建立密碼口令
Service password-encryption 保護口令,避免其通過idsplay命令
將口令顯示出來
二、報文過濾
cisco的防火墻功能主要是通過報文的過濾實現(xiàn)的。
它可以實現(xiàn)對多種數(shù)據(jù)流的控制,如限制流入、以及流出等。通過對訪問列表的編寫,我們可以實現(xiàn)對特定網(wǎng)絡(luò)或主機的數(shù)據(jù)流限制。
Accsess-list 的編號有特定的范圍:
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<200-299> Protocol type-code access list
<700-799> 48-bit MAC address access list
例如我們可以定義如下的訪問表來實現(xiàn)允許任何主機到主機160..10.2.101的報文:
Accsess-list 101 permit ip any host 160.10.2.101
而下面的語句允許使用客戶源端口(小于1024的端口留給服務(wù)器用)方式的主機發(fā)往160.10.2.100的udp報文通過,且報文的目的端口必須為dns端口(53)。其中g(shù)t為great than。
Accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53
建立好訪問列表以后,要想讓它進行報文過濾,必須將它應(yīng)用到端口上。在進入要控制的端口后,用如下的命令應(yīng)用此訪問表:
router(config-if)#ip access-group 101 in
其中的in表示對向里(針對此端口來說)的數(shù)據(jù)進行過濾。要注意的是,一個端口只能有一個向里和向外的列表,如果有幾個,則只有第一個起作用。
其實,對思科路由器的安全性管理主要包括建立口令以保護訪問思科路由器的安全,使用正確的訪問表以管理通過Cisco思科路由器的可接受數(shù)據(jù)流等。