思科網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)(Cisco網(wǎng)絡(luò)設(shè)備訪問安全基礎(chǔ)是什么)

1.Cisco網(wǎng)絡(luò)設(shè)備訪問安全基礎(chǔ)是什么

導(dǎo)讀：本文主要給大家詳細(xì)的介紹了對(duì)于CISCO路由器網(wǎng)絡(luò)設(shè)備訪問安全的基礎(chǔ)介紹，并且介紹了基本的安全登錄，終端保護(hù)，授權(quán)等問題，相信看過此文會(huì)對(duì)你有所幫助。

編輯特別推薦： 將數(shù)據(jù)中心網(wǎng)絡(luò)“一網(wǎng)打盡” 思科路由器常用配置命令大全 思科統(tǒng)一通信配置方案簡(jiǎn)介 為了保護(hù)他們的Cisco 網(wǎng)絡(luò)，許多管理員開始忙于什么樣的流量可以被允許通過網(wǎng)絡(luò)設(shè)備，怎樣限制郵件路由升級(jí)和其他路由器交換的唯一信息。 訪問控制列表（ACLs）通常可以相當(dāng)簡(jiǎn)單地解決這些問題。

網(wǎng)絡(luò)設(shè)備的安全對(duì)任何聯(lián)網(wǎng)的環(huán)境都很重要，為解決這個(gè)問題，Cisco提供了許多可供選擇的方法。 在本文中，我將介紹登錄安全的基本配置。

還將介紹怎樣使用基于用戶的登錄配置來使得基本配置更加安全，證明怎樣監(jiān)視配置活動(dòng)和對(duì)你的路由器的連接。 一旦你明白了這些基本的配置，你可以在其上建立更多的Cisco高級(jí)特性。

基本登錄安全配置 Cisco提供的最基本的安全考慮是在設(shè)備訪問和配置過程中使用本地口令。不同的口令可以應(yīng)用于不同的行或者訪問指針。

Cisco設(shè)備中典型的訪問指針是終端行（也稱為虛擬終端行， 或VTYs），控制臺(tái)端口，和輔助端口（AUX）。 而且，不同的端口可以建立不同的認(rèn)證方法。

下面是一個(gè)非常簡(jiǎn)單的認(rèn)證配置的例子。 IOS 版本 下面的例子假設(shè)有一個(gè)標(biāo)準(zhǔn)的，使用IOS 12。

x版本的類訪問Cisco路由器。 Router (config)# line con 0 Router (config-line)# password conpword1 Router (config-line)# login Router (config-line)# exit Router (config)# enable password 12345 在此，我已經(jīng)設(shè)置了一個(gè)控制臺(tái)端口口令并且產(chǎn)生我在配置路由器時(shí)需要的口令。

首先我進(jìn)入控制臺(tái)端口的行配置模式，設(shè)置口令并用login來完成。然后我為路由器配置的訪問權(quán)限創(chuàng)建口令。

當(dāng)需要保護(hù)本地控制臺(tái)對(duì)路由器的訪問時(shí)，應(yīng)該從這里開始。 口令加密 需要注意的是在這個(gè)配置過程中，口令是純文本的。

從安全的角度看這不是一個(gè)好思想。 然而，你可以把這些口令加密，這樣訪問路由器的其他人就不能看到這些口令。

執(zhí)行下面的命令： Router (config)# service password-encryption 口令加密服務(wù)將加密所有現(xiàn)存的和在以后配置的口令。我強(qiáng)烈推薦在你的Cisco網(wǎng)絡(luò)設(shè)備配置中使用這項(xiàng)服務(wù)。

口令種類 有效口令包括兩個(gè)種類：標(biāo)準(zhǔn)有效口令和有效密碼（enable secret）。由于使用了強(qiáng)加密手段，所以有效密碼比有效口令更安全。

配置有效密碼之后，它將替代有效口令。下面的例子說明了有效密碼的設(shè)置： Router (config)# enable secret abc123 如果你在執(zhí)行了這一步后查看路由器配置，你將看到有效密碼口令自動(dòng)被加密了，無論是否開啟了口令加密服務(wù)。

設(shè)置通話超時(shí)時(shí)間 另一件有關(guān)訪問的事就是考慮通話超時(shí)。作為一個(gè)更高層的安全性，你可以設(shè)置在一段靜止?fàn)顟B(tài)后斷開對(duì)話連接。

如果你離開終端一段時(shí)間，需要關(guān)閉一個(gè)配置對(duì)話，這是個(gè)便利的工具。默認(rèn)的超時(shí)時(shí)間是十分鐘。

如果想設(shè)置通話超時(shí)，試一下下面的命令： Router (config)# line console 0 Router (config-line)# exec-timeout 6 30 如果在六分三十秒鐘內(nèi)沒有輸入，將關(guān)閉這個(gè)控制臺(tái)對(duì)話。 保護(hù)終端行 在保護(hù)控制臺(tái)端口的同時(shí)，你也希望保護(hù)在網(wǎng)絡(luò)中用來進(jìn)行Telnet訪問的終端行。

考慮下面關(guān)于Telnet安全的例子： Router (config)# line vty 0 4 Router (config-line)# password termpword1 Router (config-line)# login 需要注意的是這和控制臺(tái)的配置非常相似。 一個(gè)區(qū)別是由于路由器訪問有不止一個(gè)VTY行，所以在VTY關(guān)鍵字后面有兩個(gè)數(shù)字。

在許多Cisco路由器上默認(rèn)的行數(shù)為五行。在這里，我們?yōu)樗薪K端（VTY）行設(shè)置一個(gè)口令。

我可以在某個(gè)范圍指定實(shí)際的終端或VTY行號(hào)。你經(jīng)常看到的語法是vty 0 4，這樣可以包括所有五個(gè)終端訪問行。

從理論上來說，你可以對(duì)不同的VTY行或范圍建立不同的口令。如果需要的話，你可以擴(kuò)展可用的VTY行數(shù)以容納更多的用戶。

但這個(gè)方法也有限制。首先，一般建議限制對(duì)典型的網(wǎng)絡(luò)設(shè)備同時(shí)進(jìn)行訪問。

所以在這個(gè)例子中，擴(kuò)展VTY的輸入行數(shù)并不是很好的選擇。如果只是限制Telnet協(xié)議對(duì)VTY的訪問，可以使用下列命令： Router (config) # line vty 0 4 Router (config-line) # transport input telnet 在這里，我已經(jīng)指定所有終端行都可以使用Telnet。

為了進(jìn)一步限制源地址的路由器訪問，我可以在行配置模式配合類訪問命令使用一個(gè)訪問列表。 要保護(hù)可以在網(wǎng)絡(luò)中進(jìn)行路由器訪問的虛擬終端行，還有好多事情要做。

SSH vs。 Telnet SSH對(duì)比Telnet 如果你非常偏愛使用Telnet來登錄你的路由器，可以選擇使用SSH。

為了使你的路由器能夠使用SSH，運(yùn)行下列命令： Router (config) # line vty 0 3 Router (config-line) # transport input ssh 而且，我們對(duì)基本網(wǎng)絡(luò)設(shè)備登錄有一個(gè)相當(dāng)可靠的基礎(chǔ)。 我們將考慮的下一個(gè)安全登錄形式是基于用戶的登錄。

基于用戶的登錄 一個(gè)基于特定用戶信任關(guān)系的登錄進(jìn)程有助于保證配置改變的責(zé)任，這在那些擁有許多需要手工操作的路由器和交換機(jī)的大型網(wǎng)絡(luò)環(huán)境中顯得尤為重要。一旦你執(zhí)行了這個(gè)類型的認(rèn)證，路由器將記錄是誰在何時(shí)訪問路由器并修改了配置。

2.報(bào)班學(xué)CCNA所謂的網(wǎng)絡(luò)基礎(chǔ)知識(shí)是啥

ccna是屬于cisco認(rèn)證體系中的的路由交換系列。

路由和交換：這條途徑適用于那些在采用了LAN和WAN路由器和交換機(jī)的環(huán)境中，安裝和支持基于思科技術(shù)的網(wǎng)絡(luò)的專業(yè)人士。CCNA認(rèn)證（思科認(rèn)證網(wǎng)絡(luò)工程師）表示具備基本的和初步的網(wǎng)絡(luò)知識(shí)。

擁有CCNA認(rèn)證的專業(yè)人士可以為小型網(wǎng)絡(luò)（不超過100個(gè)節(jié)點(diǎn)）安裝、配置和操作LAN、WAN和撥號(hào)接八服務(wù)。其中包括單步僅限于下列協(xié)議：IP、IGRP、串行、幀中繼、IP RIP、VLAN、RIP、以太網(wǎng)和訪問列表。

結(jié)合樓主的問題，第一培訓(xùn)班應(yīng)該是能聽得懂的，如果聽不懂這個(gè)培訓(xùn)班也開不下去。第二，對(duì)工作的幫助，在上面我已經(jīng)有寫出ccna能具備的能力。

你可以考慮一次學(xué)到ccnp再工作，也可以考慮直接就去工作后期再有公司出資培訓(xùn)。第三，樓下有人講這個(gè)認(rèn)證已經(jīng)很多了，確實(shí)是這樣，所以你也可以考慮學(xué)完ccna的之后走安全方向。

網(wǎng)絡(luò)安全：這條途徑針對(duì)的是負(fù)責(zé)設(shè)計(jì)和實(shí)施思科安全網(wǎng)絡(luò)的網(wǎng)絡(luò)人士。不過安全要基于ccna之上。

3.學(xué)網(wǎng)絡(luò)安全的基本知識(shí)有哪些

網(wǎng)絡(luò)安全基本知識(shí) 什么是網(wǎng)絡(luò)安全？ 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可以連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。

什么是計(jì)算機(jī)病毒？ 計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 什么是木馬？ 木馬是一種帶有惡意性質(zhì)的遠(yuǎn)程控制軟件。

木馬一般分為客戶端和服務(wù)器端。客戶端就是本地使用的各種命令的控制臺(tái)，服務(wù)器端則是要給別人運(yùn)行，只有運(yùn)行過服務(wù)器端的計(jì)算機(jī)才能夠完全受控。

木馬不會(huì)象病毒那樣去感染文件。 什么是防火墻？它是如何確保網(wǎng)絡(luò)安全的？ 使用功能防火墻是一種確保網(wǎng)絡(luò)安全的方法。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，能根據(jù)企業(yè)的安全策略控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。

它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 什么是后門？為什么會(huì)存在后門？ 后門是指一種繞過安全性控制而獲取對(duì)程序或系統(tǒng)訪問權(quán)的方法。

在軟件的開發(fā)階段，程序員常會(huì)在軟件內(nèi)創(chuàng)建后門以便可以修改程序中的缺陷。如果后門被其他人知道，或者在發(fā)布軟件之前沒有刪除，那么它就成了安全隱患。

什么叫入侵檢測(cè)？ 入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。

什么叫數(shù)據(jù)包監(jiān)測(cè)？它有什么作用？ 數(shù)據(jù)包監(jiān)測(cè)可以被認(rèn)為是一根竊聽電話線在計(jì)算機(jī)網(wǎng)絡(luò)中的等價(jià)物。當(dāng)某人在“監(jiān)聽”網(wǎng)絡(luò)時(shí)，他們實(shí)際上是在閱讀和解釋網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。

如果你需要在互聯(lián)網(wǎng)上通過計(jì)算機(jī)發(fā)送一封電子郵件或請(qǐng)求一個(gè)網(wǎng)頁，這些傳輸信息時(shí)經(jīng)過的計(jì)算機(jī)都能夠看到你發(fā)送的數(shù)據(jù)，而數(shù)據(jù)包監(jiān)測(cè)工具就允許某人截獲數(shù)據(jù)并且查看它。 什么是NIDS? NIDS是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的縮寫，主要用于檢測(cè)HACKER和CRACKER通過網(wǎng)絡(luò)進(jìn)行的入侵行為。

NIDS的運(yùn)行方式有兩種，一種是在目標(biāo)主機(jī)上運(yùn)行以監(jiān)測(cè)其本身的通信信息，另一種是在一臺(tái)單獨(dú)的機(jī)器上運(yùn)行以監(jiān)測(cè)所有網(wǎng)絡(luò)設(shè)備的通信信息，比如HUB、路由器。 什么叫SYN包？ TCP連接的第一個(gè)包，非常小的一種數(shù)據(jù)包。

SYN攻擊包括大量此類的包，由于這些包看上去來自實(shí)際不存在的站點(diǎn)，因此無法有效進(jìn)行處理。 加密技術(shù)是指什么？ 加密技術(shù)是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。

加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法是將普通的信息或者可以理解的信息與一串?dāng)?shù)字（密鑰）結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來對(duì)數(shù)據(jù)進(jìn)行編碼和解密的一種算法。

在安全保密中，可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來保證網(wǎng)絡(luò)的信息通信安全。 什么叫蠕蟲病毒？ 蠕蟲病毒源自一種在網(wǎng)絡(luò)上傳播的病毒。

1988年，22歲的康奈爾大學(xué)研究生羅伯特.莫里斯通過網(wǎng)絡(luò)發(fā)送了一種專為攻擊UNIX系統(tǒng)缺陷、名為“蠕蟲”的病毒，蠕蟲造成了6000個(gè)系統(tǒng)癱瘓，估計(jì)損失為200萬到6000萬美圓。由于這只蠕蟲的誕生，在網(wǎng)上還專門成立了計(jì)算機(jī)應(yīng)急小組。

現(xiàn)在蠕蟲病毒家族已經(jīng)壯大到成千上萬種，并且這千萬種蠕蟲病毒大都出自黑客之手。 什么是操作系統(tǒng)病毒？ 這種病毒會(huì)用它自己的程序加入操作系統(tǒng)進(jìn)行工作，具有很強(qiáng)的破壞力，會(huì)導(dǎo)致整個(gè)系統(tǒng)癱瘓。

并且由于感染了操作系統(tǒng)，這種病毒在運(yùn)行時(shí)，會(huì)用自己的程序片段取代操作系統(tǒng)的合法程序模塊。根據(jù)病毒自身的特點(diǎn)和被替代的操作系統(tǒng)中合法程序模塊在操作系統(tǒng)中運(yùn)行的地位與作用，以及病毒取代操作系統(tǒng)的取代方式等，對(duì)操作系統(tǒng)進(jìn)行破壞。

同時(shí)，這種病毒對(duì)系統(tǒng)中文件的感染性也很強(qiáng)。 莫里斯蠕蟲是指什么？ 它的編寫者是美國(guó)康奈爾大學(xué)一年級(jí)研究生羅伯特.莫里斯。

這個(gè)程序只有99行，利用UNIX系統(tǒng)的缺點(diǎn)，用finger命令查聯(lián)機(jī)用戶名單，然后破譯用戶口令，用MAIL系統(tǒng)復(fù)制、傳播本身的源程序，再編譯生成代碼。 最初的網(wǎng)絡(luò)蠕蟲設(shè)計(jì)目的是當(dāng)網(wǎng)絡(luò)空閑時(shí)，程序就在計(jì)算機(jī)間“游蕩”而不帶來任何損害。

當(dāng)有機(jī)器負(fù)荷過重時(shí)，該程序可以從空閑計(jì)算機(jī)“借取資源”而達(dá)到網(wǎng)絡(luò)的負(fù)載平衡。而莫里斯蠕蟲不是“借取資源”，而是“耗盡所有資源”。

什么是DDoS? DDoS也就是分布式拒絕服務(wù)攻擊。它使用與普通的拒絕服務(wù)攻擊同樣的方法，但是發(fā)起攻擊的源是多個(gè)。

通常攻擊者使用下載的工具滲透無保護(hù)的主機(jī)，當(dāng)獲取該主機(jī)的適當(dāng)?shù)脑L問權(quán)限后，攻擊者在主機(jī)中安裝軟件的服務(wù)或進(jìn)程（以下簡(jiǎn)稱代理）。這些代理保持睡眠狀態(tài)，直到從它們的主控端得到指令，對(duì)指定的目標(biāo)發(fā)起拒絕服務(wù)攻擊。

隨著危害力極強(qiáng)的黑客工具的廣泛傳播使用，分布式拒絕。

4.學(xué)習(xí)網(wǎng)絡(luò)安全需要哪些基礎(chǔ)知識(shí)

學(xué)習(xí)網(wǎng)絡(luò)安全需要具備的知識(shí)：

(1)熟悉計(jì)算機(jī)系統(tǒng)的基礎(chǔ)知識(shí)；

(2)熟悉網(wǎng)絡(luò)操作系統(tǒng)的基礎(chǔ)知識(shí)；

(3)理解計(jì)算機(jī)應(yīng)用系統(tǒng)的設(shè)計(jì)和開發(fā)方法；

(4)熟悉數(shù)據(jù)通信的基礎(chǔ)知識(shí)；

(5)熟悉系統(tǒng)安全和數(shù)據(jù)安全的基礎(chǔ)知識(shí)；

(6)掌握網(wǎng)絡(luò)安全的基本技術(shù)和主要的安全協(xié)議與安全系統(tǒng)；

(7)掌握計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議的基本原理；

(8)掌握計(jì)算機(jī)網(wǎng)絡(luò)有關(guān)的標(biāo)準(zhǔn)化知識(shí)。

拓展資料：

學(xué)習(xí)安全網(wǎng)絡(luò)還需要掌握局域網(wǎng)組網(wǎng)技術(shù)，理解城域網(wǎng)和廣域網(wǎng)基本技術(shù)；掌握計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)；掌握TCP/IP協(xié)議網(wǎng)絡(luò)的聯(lián)網(wǎng)方法和網(wǎng)絡(luò)應(yīng)用服務(wù)技術(shù)，理解接入網(wǎng)與接入技術(shù)；

掌握網(wǎng)絡(luò)管理的基本原理和操作方法；熟悉網(wǎng)絡(luò)系統(tǒng)的性能測(cè)試和優(yōu)化技術(shù)，以及可靠性設(shè)計(jì)技術(shù)；理解網(wǎng)絡(luò)應(yīng)用的基本原理和技術(shù)，理解網(wǎng)絡(luò)新技術(shù)及其發(fā)展趨勢(shì)。

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可以連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。

5.CCNA基礎(chǔ)知識(shí)

CCNA認(rèn)證簡(jiǎn)介

CCNA認(rèn)證標(biāo)志著 具備安裝、配置、運(yùn)行中型路由和交換網(wǎng)絡(luò)，并進(jìn)行故障排除的能力。獲得CCNA認(rèn)證的專業(yè)人士擁有相應(yīng)的知識(shí)和技能，能夠通過廣域網(wǎng)與遠(yuǎn)程站點(diǎn)建立連接，消除基本的安全威脅，了解無線網(wǎng)絡(luò)接入的要求。CCNA培訓(xùn)包括（但不限于）以下這些協(xié)議的使用：IP、EIGRP、串行線路接口協(xié)議、幀中繼、RIPv2、VLAN、以太網(wǎng)和訪問控制列表（ACL）。

CCNA認(rèn)證必備條件

沒有必需的要求，建議具備基本的計(jì)算機(jī)基礎(chǔ)知識(shí)。

CCNA認(rèn)證考試和培訓(xùn)課程

考試號(hào)： 640-802 CCNA

培訓(xùn)課程：

互聯(lián)思科網(wǎng)絡(luò)設(shè)備 Part 1 (ICND1) v1.0

互聯(lián)思科網(wǎng)絡(luò)設(shè)備Part 2 (ICND2) v1.0

6.計(jì)算機(jī)網(wǎng)絡(luò)安全方向應(yīng)該掌握些什么知識(shí)

網(wǎng)絡(luò)安全學(xué)習(xí)內(nèi)容

1.防火墻（正確的配置和日常應(yīng)用）

2.系統(tǒng)安全（針對(duì)服務(wù)器的安全加固和WEB代碼的安全加固以及各種應(yīng)用服務(wù)器的組建，例如WEB MAIL FTP等等）

3.安全審核（入侵檢測(cè)。日志追蹤）

4.軟考網(wǎng)絡(luò)工程師，思科CCNA課程 華為認(rèn)證等（網(wǎng)絡(luò)基礎(chǔ)知識(shí)。局域網(wǎng)常見故障排除和組建）

5.經(jīng)驗(yàn)積累。

1、了解基本的網(wǎng)絡(luò)和組網(wǎng)以及相關(guān)設(shè)備的使用；

2、windwos的服務(wù)器設(shè)置和網(wǎng)絡(luò)基本配置；

3、學(xué)習(xí)一下基本的html、js、asp、mssql、php、mysql等腳本類的語言

4、多架設(shè)相關(guān)網(wǎng)站，多學(xué)習(xí)網(wǎng)站管理；

5、學(xué)習(xí)linux，了解基本應(yīng)用，系統(tǒng)結(jié)構(gòu)，網(wǎng)絡(luò)服務(wù)器配置，基本的shell等；

6、學(xué)習(xí)linux下的iptables、snort等建設(shè)；

7、開始學(xué)習(xí)黑客常見的攻擊步驟、方法、思路等，主要可以看一些別人的經(jīng)驗(yàn)心得；

8、學(xué)習(xí)各種網(wǎng)絡(luò)安全工具的應(yīng)用、掃描、遠(yuǎn)控、嗅探、破解、相關(guān)輔助工具等；

9、學(xué)習(xí)常見的系統(tǒng)漏洞和腳本漏洞，根據(jù)自己以前學(xué)習(xí)的情況綜合應(yīng)用；

11、深入學(xué)習(xí)tcp/ip和網(wǎng)絡(luò)協(xié)議等相關(guān)知識(shí)；

12、學(xué)習(xí)數(shù)據(jù)分析，進(jìn)一步的深入；

13、能夠靜下心學(xué)習(xí)好上邊的東西以后自己就會(huì)有發(fā)展和學(xué)習(xí)的方向了。這些都是基礎(chǔ)東西，還沒有涉及到系統(tǒng)內(nèi)部結(jié)構(gòu)、網(wǎng)絡(luò)編程、漏洞研發(fā)等。。。學(xué)習(xí)東西不要浮躁！

7.網(wǎng)絡(luò)常識(shí)中Cisco路由怎樣進(jìn)行安全配置

很多網(wǎng)絡(luò)管理員在剛開始使用思科路由器時(shí)都會(huì)忽略安全設(shè)置，本文介紹的內(nèi)容非常適合此類應(yīng)用者在使用思科路由器時(shí)對(duì)網(wǎng)絡(luò)安全進(jìn)行配置。

一.路由器訪問控制的安全配置 1.嚴(yán)格控制可以訪問路由器的管理員。任何一次維護(hù)都需要記錄備案。

2.建議不要遠(yuǎn)程訪問路由器。 即使需要遠(yuǎn)程訪問路由器，建議使用訪問控制列表和高強(qiáng)度的密碼控制。

3.嚴(yán)格控制CON端口的訪問。具體的措施有：A.如果可以開機(jī)箱的，則可以切斷與CON口互聯(lián)的物理線路。

B.可以改變默認(rèn)的連接屬性，例如修改波特率（默認(rèn)是96000，可以改為其他的）。 C.配合使用訪問控制列表控制對(duì)CON口的訪問。

如：Router(Config)#Access-list 1 permit 192。168。

0。1Router(Config)#linecon0 Router(Config-line)#Transportinputnone Router(Config-line)#Loginlocal Router(Config-line)#Exec-timeoute50 Router(Config-line)#access-class1in Router(Config-line)#endD.給CON口設(shè)置高強(qiáng)度的密碼。

4.如果不使用AUX端口，則禁止這個(gè)端口。默認(rèn)是未被啟用。

禁止如：Router(Config)#lineaux0 Router(Config-line)#transportinputnone Router(Config-line)#noexec5.建議采用權(quán)限分級(jí)策略。 如：Router(Config)# Router(Config)# Router(Config)#-list6.為特權(quán)模式的進(jìn)入設(shè)置強(qiáng)壯的密碼。

不要采用enable password設(shè)置密碼。而要采用enable secret命令設(shè)置。

并且要啟用Service password-encryption。 7.控制對(duì)VTY的訪問。

如果不需要遠(yuǎn)程訪問則禁止它。如果需要?jiǎng)t一定要設(shè)置強(qiáng)壯的密碼。

由于VTY在網(wǎng)絡(luò)的傳輸過程中為加密，所以需要對(duì)其進(jìn)行嚴(yán)格的控制。如：設(shè)置強(qiáng)壯的密碼；控制連接的并發(fā)數(shù)目；采用訪問列表嚴(yán)格控制訪問的地址；可以采用AAA設(shè)置用戶的訪問控制等。

8.IOS的升級(jí)和備份，以及配置文件的備份建議使用FTP代替TFTP。 如：Router(Config)#ipftpusernameBluShin Router(Config)# Router#copystartup-configftp:9.及時(shí)的升級(jí)和修補(bǔ)IOS軟件。