如何使用Cisco 自动安全功能保护您的Cisco路由器
在当今复杂的网络环境中,确保网络路由器的安全是一项艰巨的任务,尤其是当有如此多的CLI命令和参数对您的Cisco路由器设备产生不同的安全隐患时。
值得庆幸的是,自Cisco IOS版本12.3起,Cisco为管理员提供了一种简便的方法来锁定其Cisco路由器,而无需输入复杂的命令和参数。 聪明地引入了此功能,以帮助消除任务的复杂性,并确保根据思科的最佳安全实践执行锁定。
思科公司 自动安全 此功能适用于所有IOS 12.3及更高版本,并在所有硬件平台上受支持,包括所有较新的Cisco 870、880、1800、1900、2800、2900、3800和3900系列路由器。
为了最大程度地提高灵活性,Cisco 自动安全命令根据您的需求和所需的灵活性支持两种不同的模式:
自动安全 互动模式:此模式向用户提示选项,以启用/禁用路由器正在运行的IOS版本支持的服务和其他安全功能。
自动安全 非互动模式: 自动执行思科 自动安全 命令使用建议的Cisco默认设置(Cisco的最佳安全做法)。
思科公司 自动安全互动模式 与安全相关的功能提供了比 非互动模式。但是,当管理员需要 在无需人工干预的情况下快速保护路由器,因此非交互模式是合适的。
我们将很快检查这两个命令之间的实际差异。现在,让我们看一下思科的功能 自动安全 施行:
1.禁用以下全局服务:
- 手指
- 垫
- 小型服务器
- 布特
- HTTP服务
- 鉴定服务
- CDP
- NTP
- 源路由
2.启用以下全局服务:
- 密码加密服务
- 调度程序间隔/分配的调整
- TCP协议同步时间
- TCP协议-keepalives输入和tcp-kepalives输出
- SPD辽宁十一选五走势图一百期
- 没有IP不可达,为null 0
3.在每个接口上禁用以下服务:
- ICMP
- 代理服务器
- 定向广播
- 禁用MOP服务
- 禁用icmp无法访问
- 禁用icmp掩码回复消息。
4.提供日志记录以确保安全性:
- 启用序列号& timestamp
- 提供控制台日志
- 设置日志缓冲大小
- 提供交互式对话以辽宁十一选五走势图一百期日志记录服务器的IP地址。
5.保护对路由器的访问:
- 检查横幅并提供添加文本以自动辽宁十一选五走势图一百期的功能:
- 登录名和密码
- 运输输入& output
- 执行超时
- 本地AAA
- SSH超时和SSH身份验证重试到最小数量
- 仅启用SSH和SCP来往路由器的访问和文件传输
- 禁用SNMP(如果未使用)
6.固定转发平面:
- 启用路由器上的Cisco Express Forwarding(CEF)或分布式CEF(如果可用)
- 防欺骗
- 阻止所有IANA保留的IP地址块
- 如果客户需要,阻止私有地址块
- 如果未使用默认路由,则将默认路由安装为NULL 0
- 如果TCP拦截功能可用并且用户感兴趣,则将TCP拦截辽宁十一选五走势图一百期为连接超时
- 使用Cisco IOS防火墙映像时,在面向Internet的接口上启动CBAC的交互式辽宁十一选五走势图一百期
- 在软件转发平台上启用NetFlow
显然,思科 自动安全 除了执行几个命令外,还可以做很多其他的事情。
辽宁十一选五走势图一百期思科AutoSecure交互模式
这恰好是确保您的Cisco路由器安全的推荐模式。使用思科时 自动安全 互动模式,路由器将提示有关当前拓扑,如何连接到Internet,哪个接口连接到Internet等问题。 提供此信息至关重要,因为AutoSecure将使用此信息来锁定路由器并按照思科最佳安全实践的要求禁用服务。
以下是启动AutoSecure Interactive模式功能所需的命令。您可以随时按以下键终止会话 Ctrl-C,或按 ? 获得帮助:
R1# 自动安全
--- 自动安全辽宁十一选五走势图一百期---
*** 自动安全辽宁十一选五走势图一百期增强了安全性
路由器,但不会使其具有绝对抵抗力
应对所有安全攻击***
自动安全将修改设备的辽宁十一选五走势图一百期。
将显示所有辽宁十一选五走势图一百期更改。有关详细
说明辽宁十一选五走势图一百期更改如何增强安全性
以及任何可能的副作用,请访问Cisco.com。
自动安全文档。
您可以随时输入“?”求助。
在任何提示下使用ctrl-c中止该会话。
收集有关AutoSecure路由器的信息
禁用服务板
禁用udp& tcp small servers
启用service password encryption
启用服务tcp-keepalives-in
启用服务tcp-keepalives-out
禁用cdp协议
禁用Bootp服务器
禁用http服务器
禁用手指服务
禁用源路由
禁用免费arp
辽宁十一选五走势图一百期NTP身份验证? [是]: 没有
输入新的启用密码: *****
%无效的密码长度-必须包含6至25个字符。密码辽宁十一选五走势图一百期失败
输入新的启用密码: **********
确认启用密码: **********
辽宁十一选五走势图一百期AAA本地认证
为以下辽宁十一选五走势图一百期控制台,辅助和VTY线路
本地身份验证,执行超时和传输
保护设备免受登录攻击
辽宁十一选五走势图一百期以下参数
检测到登录攻击的阻止时间:15
设备的最大登录失败次数:3
穿越失败的登录尝试的最大时间段:20
辽宁十一选五走势图一百期SSH服务器? [是]: 没有
辽宁十一选五走势图一百期特定于接口的AutoSecure服务
在所有接口上禁用以下ip服务:
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
在以太网接口上禁用拖把
保护转发平面服务...
启用unicast rpf on all interfaces connected to internet
辽宁十一选五走势图一百期CBAC防火墙功能? [是/否]: 是
这是生成的辽宁十一选五走势图一百期:
没有服务手指
没有服务垫
没有服务udp-small-servers
没有服务tcp-small-servers
服务密码加密
服务tcp-keepalives-in
服务tcp-keepalives-out
没有CDP运行
没有IP 布特服务器
没有IP HTTP服务器
没有ip手指
没有ip源路由
没有ip免费的arps
没有ip识别
安全密码最小长度6
安全认证失败率10 log
启用密码7 11584B5643475D
aaa新模型
aaa身份验证登录local_auth本地
线骗子0
登录身份验证local_auth
exec-timeout 5 0
传输输出远程登录
辅助线0
登录身份验证local_auth
exec-timeout 10 0
传输输出远程登录
行vty 0 15
登录身份验证local_auth
传输输入远程登录
tty 1行
登录身份验证local_auth
exec-timeout 15 0
登录块-20内进行15次尝试3
服务时间戳调试日期时间毫秒本地时间显示时区
服务时间戳记日志日期时间毫秒本地时间显示时区
伐木设施local2
日志陷阱调试
服务序列号
日志控制台严重
日志缓冲
interface FastEthernet0 / 0
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
no mop 使能d
interface FastEthernet0 / 1
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
no mop 使能d
访问列表101允许udp任何eq bootpc
interface FastEthernet0 / 1
ip验证单播源可达-通过rx allow-default 101
ip检查审计线索
IP检查DNS超时7
ip inspect tcp idle-time 14400
ip检查udp空闲时间1800
ip检查名称autosec_inspect cuseeme超时3600
ip检查名称autosec_inspect ftp超时3600
ip检查名称autosec_inspect http超时3600
IP检查名称autosec_inspect rcmd超时3600
ip检查名称autosec_inspect realaudio超时3600
IP检查名称autosec_inspect smtp超时3600
ip检查名称autosec_inspect tftp超时30
ip检查名称autosec_inspect udp超时15
IP检查名称autosec_inspect tcp超时3600
ip访问列表扩展autosec_firewall_acl
允许udp任何任何eq bootpc
deny ip any any
interface FastEthernet0 / 1
ip检查autosec_inspect出
ip访问组autosec_firewall_acl中
!
结束
将此辽宁十一选五走势图一百期应用到running-config吗? [是]: 是
将生成的辽宁十一选五走势图一百期应用到running-config
--- 自动安全辽宁十一选五走势图一百期---
*** 自动安全辽宁十一选五走势图一百期增强了安全性
路由器,但不会使其具有绝对抵抗力
应对所有安全攻击***
自动安全将修改设备的辽宁十一选五走势图一百期。
将显示所有辽宁十一选五走势图一百期更改。有关详细
说明辽宁十一选五走势图一百期更改如何增强安全性
以及任何可能的副作用,请访问Cisco.com。
自动安全文档。
您可以随时输入“?”求助。
在任何提示下使用ctrl-c中止该会话。
收集有关AutoSecure路由器的信息
该路由器是否已连接到互联网? [没有]: 是
输入面向互联网的接口数量[1]: 1
接口 IP-Address OK? Method Status Protocol
FastEthernet0 / 0 10.0.0.100 YES NVRAM up up
FastEthernet0 / 1 192.168.151.10 YES NVRAM up up
NVI0 10.0.0.100 YES unset up up
输入面向互联网的接口名称: FastEthernet0 / 1
保护管理平面服务...
禁用服务手指禁用服务板
禁用udp& tcp small servers
启用service password encryption
启用服务tcp-keepalives-in
启用服务tcp-keepalives-out
禁用cdp协议
禁用Bootp服务器
禁用http服务器
禁用手指服务
禁用源路由
禁用免费arp
辽宁十一选五走势图一百期NTP身份验证? [是]: 没有
输入新的启用密码: *****
%无效的密码长度-必须包含6至25个字符。密码辽宁十一选五走势图一百期失败
输入新的启用密码: **********
确认启用密码: **********
辽宁十一选五走势图一百期AAA本地认证
为以下辽宁十一选五走势图一百期控制台,辅助和VTY线路
本地身份验证,执行超时和传输
保护设备免受登录攻击
辽宁十一选五走势图一百期以下参数
检测到登录攻击的阻止时间:15
设备的最大登录失败次数:3
穿越失败的登录尝试的最大时间段:20
辽宁十一选五走势图一百期SSH服务器? [是]: 没有
辽宁十一选五走势图一百期特定于接口的AutoSecure服务
在所有接口上禁用以下ip服务:
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
在以太网接口上禁用拖把
保护转发平面服务...
启用unicast rpf on all interfaces connected to internet
辽宁十一选五走势图一百期CBAC防火墙功能? [是/否]: 是
这是生成的辽宁十一选五走势图一百期:
没有服务手指
没有服务垫
没有服务udp-small-servers
没有服务tcp-small-servers
服务密码加密
服务tcp-keepalives-in
服务tcp-keepalives-out
没有CDP运行
没有IP 布特服务器
没有IP HTTP服务器
没有ip手指
没有ip源路由
没有ip免费的arps
没有ip识别
安全密码最小长度6
安全认证失败率10 log
启用密码7 11584B5643475D
aaa新模型
aaa身份验证登录local_auth本地
线骗子0
登录身份验证local_auth
exec-timeout 5 0
传输输出远程登录
辅助线0
登录身份验证local_auth
exec-timeout 10 0
传输输出远程登录
行vty 0 15
登录身份验证local_auth
传输输入远程登录
tty 1行
登录身份验证local_auth
exec-timeout 15 0
登录块-20内进行15次尝试3
服务时间戳调试日期时间毫秒本地时间显示时区
服务时间戳记日志日期时间毫秒本地时间显示时区
伐木设施local2
日志陷阱调试
服务序列号
日志控制台严重
日志缓冲
interface FastEthernet0 / 0
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
no mop 使能d
interface FastEthernet0 / 1
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
no mop 使能d
访问列表101允许udp任何eq bootpc
interface FastEthernet0 / 1
ip验证单播源可达-通过rx allow-default 101
ip检查审计线索
IP检查DNS超时7
ip inspect tcp idle-time 14400
ip检查udp空闲时间1800
ip检查名称autosec_inspect cuseeme超时3600
ip检查名称autosec_inspect ftp超时3600
ip检查名称autosec_inspect http超时3600
IP检查名称autosec_inspect rcmd超时3600
ip检查名称autosec_inspect realaudio超时3600
IP检查名称autosec_inspect smtp超时3600
ip检查名称autosec_inspect tftp超时30
ip检查名称autosec_inspect udp超时15
IP检查名称autosec_inspect tcp超时3600
ip访问列表扩展autosec_firewall_acl
允许udp任何任何eq bootpc
deny ip any any
interface FastEthernet0 / 1
ip检查autosec_inspect出
ip访问组autosec_firewall_acl中
!
结束
将此辽宁十一选五走势图一百期应用到running-config吗? [是]: 是
将生成的辽宁十一选五走势图一百期应用到running-config
注意路由器拒绝了初始 使能 密码,因为它不符合密码安全要求
如果您希望在保存之前检查Cisco 自动安全功能所做的辽宁十一选五走势图一百期更改,则可以使用 显示自动安全辽宁十一选五走势图一百期 命令:
R1# 显示自动安全辽宁十一选五走势图一百期
没有服务手指
没有服务垫
没有服务udp-small-servers
没有服务tcp-small-servers
服务密码加密
服务tcp-keepalives-in
服务tcp-keepalives-out
没有CDP运行
没有IP 布特服务器
没有IP HTTP服务器
没有ip手指
没有ip源路由
没有ip免费的arps
没有ip识别
安全密码最小长度6
安全认证失败率10 log
启用密码7 11584B5643475D
aaa新模型
aaa身份验证登录local_auth本地
线骗子0
登录身份验证local_auth
exec-timeout 5 0
传输输出远程登录
辅助线0
登录身份验证local_auth
exec-timeout 10 0
传输输出远程登录
行vty 0 15
登录身份验证local_auth
传输输入远程登录
tty 1行
登录身份验证local_auth
exec-timeout 15 0
登录块-20内进行15次尝试3
服务时间戳调试日期时间毫秒本地时间显示时区
服务时间戳记日志日期时间毫秒本地时间显示时区
伐木设施local2
日志陷阱调试
服务序列号
日志控制台严重
日志缓冲
interface FastEthernet0 / 0
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
no mop 使能d
!
interface FastEthernet0 / 1
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
no mop 使能d
!
访问列表101允许udp任何eq bootpc
interface FastEthernet0 / 1
ip验证单播源可达-通过rx allow-default 101
ip检查审计线索
IP检查DNS超时7
ip inspect tcp idle-time 14400
ip检查udp空闲时间1800
ip检查名称autosec_inspect cuseeme超时3600
ip检查名称autosec_inspect ftp超时3600
ip检查名称autosec_inspect http超时3600
IP检查名称autosec_inspect rcmd超时3600
ip检查名称autosec_inspect realaudio超时3600
IP检查名称autosec_inspect smtp超时3600
ip检查名称autosec_inspect tftp超时30
ip检查名称autosec_inspect udp超时15
IP检查名称autosec_inspect tcp超时3600
ip访问列表扩展autosec_firewall_acl
允许udp任何任何eq bootpc
deny ip any any
interface FastEthernet0 / 1
ip检查autosec_inspect出
ip访问组autosec_firewall_acl中
R1#
辽宁十一选五走势图一百期Cisco 自动安全非交互模式
思科AutoSecure的非交互模式更像是一种“快捷”设置功能,可绕过任何用户输入并利用思科的最佳安全实践快速保护路由器。 Think of it as a 肮脏的 锁定模式!
通过输入以下命令来运行非交互式AutoSecure模式 自动安全无交互 命令如下所示。路由器将显示一些信息并继续进行自我辽宁十一选五走势图一百期:
R1# 自动安全无交互
下面是执行auto secure 没有 n-interactive命令后的预期输出:
--- 自动安全辽宁十一选五走势图一百期---
*** 自动安全辽宁十一选五走势图一百期增强了安全性
路由器,但不会使其具有绝对抵抗力
应对所有安全攻击***
自动安全将修改设备的辽宁十一选五走势图一百期。
将显示所有辽宁十一选五走势图一百期更改。有关详细
说明辽宁十一选五走势图一百期更改如何增强安全性
以及任何可能的副作用,请访问Cisco.com。
自动安全文档。
保护管理平面服务...
禁用服务手指
禁用服务板
禁用udp& tcp small servers
启用service password encryption
启用服务tcp-keepalives-in
启用服务tcp-keepalives-out
禁用cdp协议
禁用Bootp服务器
禁用http服务器
禁用手指服务
禁用源路由
禁用免费arp
辽宁十一选五走势图一百期特定于接口的AutoSecure服务
在所有接口上禁用以下ip服务:
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
在以太网接口上禁用拖把
保护转发平面服务...
这是生成的辽宁十一选五走势图一百期:
没有服务手指
没有服务垫
没有服务udp-small-servers
没有服务tcp-small-servers
服务密码加密
服务tcp-keepalives-in
服务tcp-keepalives-out
没有CDP运行
没有IP 布特服务器
没有IP HTTP服务器
没有ip手指
没有ip源路由
没有ip免费的arps
没有ip识别
安全密码最小长度6
安全认证失败率10 log
服务时间戳调试日期时间毫秒本地时间显示时区
服务时间戳记日志日期时间毫秒本地时间显示时区
伐木设施local2
日志陷阱调试
服务序列号
日志控制台严重
日志缓冲
interface FastEthernet0 / 0
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
no mop 使能d
interface FastEthernet0 / 1
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
no mop 使能d
!
结束
将生成的辽宁十一选五走势图一百期应用到running-config
R1#
*** 自动安全辽宁十一选五走势图一百期增强了安全性
路由器,但不会使其具有绝对抵抗力
应对所有安全攻击***
自动安全将修改设备的辽宁十一选五走势图一百期。
将显示所有辽宁十一选五走势图一百期更改。有关详细
说明辽宁十一选五走势图一百期更改如何增强安全性
以及任何可能的副作用,请访问Cisco.com。
自动安全文档。
保护管理平面服务...
禁用服务手指
禁用服务板
禁用udp& tcp small servers
启用service password encryption
启用服务tcp-keepalives-in
启用服务tcp-keepalives-out
禁用cdp协议
禁用Bootp服务器
禁用http服务器
禁用手指服务
禁用源路由
禁用免费arp
辽宁十一选五走势图一百期特定于接口的AutoSecure服务
在所有接口上禁用以下ip服务:
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
在以太网接口上禁用拖把
保护转发平面服务...
这是生成的辽宁十一选五走势图一百期:
没有服务手指
没有服务垫
没有服务udp-small-servers
没有服务tcp-small-servers
服务密码加密
服务tcp-keepalives-in
服务tcp-keepalives-out
没有CDP运行
没有IP 布特服务器
没有IP HTTP服务器
没有ip手指
没有ip源路由
没有ip免费的arps
没有ip识别
安全密码最小长度6
安全认证失败率10 log
服务时间戳调试日期时间毫秒本地时间显示时区
服务时间戳记日志日期时间毫秒本地时间显示时区
伐木设施local2
日志陷阱调试
服务序列号
日志控制台严重
日志缓冲
interface FastEthernet0 / 0
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
no mop 使能d
interface FastEthernet0 / 1
no ip redirects
no ip proxy-arp
no ip unreachables
没有IP定向广播
no ip mask-reply
no mop 使能d
!
结束
将生成的辽宁十一选五走势图一百期应用到running-config
R1#
探索其他Cisco 自动安全选项
对于那些喜欢探索Cisco 自动安全命令的所有可用选项的人,请使用 自动安全 命令,后跟问号 ? 如下所示:
R1# 自动安全?
firewall 自动安全 Firewall
forwarding 安全转发平面
full AutoSecure的交互式完整会议
login 自动安全 Login
management 安全管理平面
没有 -interact AutoSecure的非交互式会话
ntp 自动安全 NTP
ssh 自动安全 SSH
tcp-intercept AutoSecure TCP协议拦截
firewall 自动安全 Firewall
forwarding 安全转发平面
full AutoSecure的交互式完整会议
login 自动安全 Login
management 安全管理平面
没有 -interact AutoSecure的非交互式会话
ntp 自动安全 NTP
ssh 自动安全 SSH
tcp-intercept AutoSecure TCP协议拦截
试用不同的参数和选项将有助于更好地了解AutoSecure的工作方式及其提供的选项,以帮助最佳地保护网络。
使用Cisco 自动安全功能保护路由器安全是一项非常简单的任务,即使有经验的网络工程师也不应忽略。使用这些功能,可以创建辽宁十一选五走势图一百期模板,同时考虑所有必要的基本安全措施。
思科提供了许多功能,可以帮助使工程师的日常生活更加安全和无忧。充分利用所提供的一切都是我们的优势!
