中国移动思科路由器安全配置规范

密级：内部文档编号：项目代号：中国移动通信集团网络设备安全配置规范总则版本：草稿二零零三年十一月中国移动通信公司福建移动通信公司版本控制目录第一部分概述和介绍 (5)1 概述 (5)1.1 项目背景 (5)1.2 项目目标 (5)1.3 参考资料 (5)第二部分设备的安全机制 (7)1 访问控制 (7)2 数据加密 (7)3 日志问题 (7)4 自身的防攻击能力 (8)第三部分设备安全配置建议 (9)1 访问控制列表及其管理 (9)1.1 实施原则 (9)1.2 存在问题 (10)1.3 要求配置部分 (10)2 路由协议的安全性 (11)2.1 路由协议认证 (11)2.2 源地址路由检查 (12)2.3 黑洞路由 (12)3 网管及认证问题 (13)3.1 访问管理 (13)3.1.1 限制登录空闲时间 (14)3.1.2 限制尝试次数 (14)3.1.3 限制并发数 (14)3.1.4 访问地址限制 (14)3.2 帐号和密码管理 (15)3.3 帐号认证和授权 (15)3.3.1 本机认证和授权 (15)3.3.2 AAA认证 (16)3.4 snmp协议 (16)3.5 HTTP的配置要求 (17)4 安全审计 (17)4.1 设备的登录信息 (18)4.2 设备异常事件 (18)4.3 SYSLOG服务器的设置 (18)5 设备IOS升级方法 (18)5.1 前期准备 (19)5.1.1 软件的获取 (19)5.1.2 制定升级计划 (19)5.1.3 配置同步 (19)5.1.4 数据备份 (20)5.1.5 其他准备工作 (20)5.2 升级操作 (20)5.2.1 记录升级前系统状态 (20)5.2.2 升级IOS或装载补丁 (20)5.2.3 检查升级后系统的状态 (21)5.3 应急保障措施 (21)6 特定的安全配置 (21)6.1 更改标准端口 (21)6.2 关闭不必要的服务 (21)6.3 防DOS攻击 (22)6.3.1 Smurf进攻的防范。

思科路由配置1. 概述路由器是网络中最基本和关键的设备之一，用于将数据包从源地址转发到目标地址。

思科路由器是市场上最常见和广泛使用的路由器品牌之一。

本文将为您提供有关思科路由器配置的详细指南。

我们将涵盖从基本的硬件设置到路由器软件配置的各个方面。

2. 硬件设置首先，我们需要确保正确设置并连接路由器的硬件。

以下是一些重要的硬件设置步骤：a. 将路由器连接到电源并确保电源线连接良好。

b. 将一端连接到路由器的WAN（广域网）端口，将另一端连接到您的互联网服务提供商（ISP）提供的调制解调器。

c. 使用以太网电缆将计算机连接到路由器的LAN（局域网）端口。

d. 确保所有连接都安全可靠，并检查LED指示灯以确保设备未出现故障。

3. 访问路由器一旦硬件设置完成，我们需要访问路由器的管理界面来进行进一步的配置。

按照以下步骤访问路由器：a. 打开您喜欢的Web浏览器（如Chrome，Firefox等）。

b. 在浏览器的地址栏中输入默认网关地址。

默认网关通常是路由器的IP地址，默认为192.168.1.1或192.168.0.1。

c. 按下回车键后，将显示一个登录界面。

根据您的路由器型号和设置，您可能需要输入用户名和密码。

d. 输入正确的用户名和密码，或者使用路由器的默认凭据。

如果您不确定，请查看路由器的用户手册或咨询您的ISP。

4. 基本配置一旦成功登录到路由器的管理界面，我们可以进行基本的配置。

以下是一些常见的基本配置设置：a. 更改管理员密码：为了保护路由器免受未经授权的访问，我们应该更改默认的管理员密码。

b. 设置无线网络：如果您的路由器具有无线功能，您可以设置无线网络名称（SSID）和密码来保护您的无线网络。

c. 配置LAN设置：您可以更改路由器的LAN IP地址，子网掩码和DHCP服务器设置。

5. 路由配置路由配置是路由器最重要的功能之一。

在这一步中，我们可以配置路由器来将数据包转发到不同的网络。

以下是一些常见的路由配置步骤：a. 配置静态路由：如果您的网络中有几个子网，并且您希望路由器知道如何将数据包转发到每个子网，请配置静态路由。

图解思科路由器配置教程图解思科路由器配置教程本文档旨在为用户提供详细的思科路由器配置教程。

下面分为以下几个章节进行介绍。

第一章：路由器的基本概念与原理1.1 路由器的定义和作用1.2 路由器的工作原理1.3 路由器的基本组成部分1.4 路由器的分类第二章：思科路由器的硬件介绍2.1 路由器的外部接口2.2 路由器的内部结构2.3 路由器的主要硬件组件2.4 路由器的性能指标第三章：思科路由器的初步配置3.1 路由器的接线与连接3.2 路由器的自举过程3.4 路由器的管理界面介绍第四章：思科路由器的网络配置4.1 路由器的IP地质配置4.2 路由器的子网掩码配置4.3 路由器的默认网关配置4.4 路由器的静态路由配置4.5 路由器的动态路由配置第五章：思科路由器的安全配置5.1 路由器的密码设置5.2 路由器的访问控制列表配置5.3 路由器的网络地质转换配置5.4 路由器的防火墙配置5.5 路由器的VPN配置第六章：思科路由器的服务配置6.1 路由器的DHCP服务配置6.2 路由器的NAT服务配置6.4 路由器的FTP服务配置6.5 路由器的Web服务配置附件：思科路由器配置示例文件本文档涉及附件，请参阅附件中的思科路由器配置示例文件，以便更好地理解和实践本文所介绍的配置步骤。

法律名词及注释：1.路由器：一种用于网络数据传输的设备，根据规则将数据包从源地质传输到目标地质的设备。

2.IP地质：Internet Protocol地质的缩写，用于唯一标识网络中的设备。

3.子网掩码：一种用于划分IP地质中网络部分和主机部分的掩码。

4.默认网关：通常指网络中的一个设备，用于将内部网络和外部网络连接起来。

5.静态路由：管理员手动设置的路由规则，用于指定数据包的传输路径。

6.动态路由：根据网络中的路由协议动态的路由规则，用于指定数据包的传输路径。

7.访问控制列表：用于控制网络中流入或流出的数据包的过滤规则。

8.网络地质转换：一种将私有IP地质转换为公共IP地质的技术。

思科路由器安全配置规范1. 前言路由器是网络安全的重要组成部分。

随着技术的不断进步，路由器的功能越来越多，但同时也给网络安全带来了更多的威胁。

为了保证网络的安全性，我们需要对路由器进行安全配置。

本文将介绍如何对思科路由器进行安全配置。

2. 密码设置2.1 登录密码登录密码是路由器安全性的第一道防线。

默认的密码较为简单，容易被入侵者破解。

建议初始化路由器时立即修改密码，并定期更改以提高安全性。

密码应该具有一定的复杂性，包含字母、数字和特殊符号，长度不少于8位。

2.2 特权密码特权密码用于进入特权模式，对路由器进行更改。

特权密码的复杂性等级应该和登录密码相同，长度不少于8位。

2.3 SNMP密码SNMP（简单网络管理协议）是一种用于管理网络设备的协议。

如果SNMP未加密传输，则其他人有可能获取到SNMP密码。

因此，建议将SNMP密码加密，并定期更改。

3. 端口安全路由器提供了很多端口，每个端口都具有一定的安全风险。

因此，对端口进行安全配置至关重要。

3.1 关闭不必要的端口有些端口由于功能不需要或者安全风险较大，建议关闭。

比如，路由器的Telnet端口，建议关闭，使用SSH代替。

3.2 使用ACL过滤ACL（访问控制列表）是一种机制，用于限制流入路由器的数据。

路由器的ACL功能非常强大，可以使用多种方式限制数据流，以保护网络安全。

4. 协议安全4.1 SSH代替TelnetSSH是一个安全的协议，可以取代不安全的Telnet。

使用SSH代替Telnet可以保护路由器的安全。

4.2 HTTPS代替HTTPHTTPS（超文本传输安全协议）是HTTP的安全版本。

使用HTTPS可以确保数据传输的安全性。

5. 系统安全5.1 定期备份定期备份路由器配置文件可以保证在路由器出现问题时，数据不会全部丢失。

建议至少每周备份一次。

5.2 版本管理定期检查路由器的固件版本，并根据需要进行更新。

更新路由器固件可以解决一些已知漏洞，提高安全性。

思科路由器安全配置基线（Version 1.0）2042 年12 月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (1)5 文档使用说明 (2)6 注意事项 (2)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令密文保存 (5)7.2.3 静态口令运维管理 (5)7.3 认证管理 (6)7.3.1 RADIUS认证（可选） (6)7.3.2 TACACS+认证（可选） (7)7.4 日志审计 (8)7.4.1 RADIUS记账（可选） (8)7.4.2 TACACS+记账（可选） (9)7.4.3 启用日志记录 (10)7.4.4 日志记录时间准确性 (10)7.5 协议安全 (11)7.5.1 BGP认证 (11)7.5.2 OSPF认证 (12)7.5.3 LDP认证（可选） (12)7.6 网络管理 (13)7.6.1 SNMP协议版本 (13)7.6.2 修改SNMP默认密码 (14)7.6.3 SNMP通信安全（可选） (14)7.7 设备管理 (15)7.7.1 路由器带内管理方式 (15)7.7.2 路由器带内管理通信 (16)7.7.3 路由器带内管理超时 (16)7.7.4 路由器带内管理验证 (17)7.7.5 路由器带外管理超时 (18)7.7.6 路由器带外管理验证 (19)7.8 系统服务 (19)7.8.1 禁用CDP (19)7.8.2 禁用TCP/UDP Small服务 (20)7.8.3 禁用HTTP SERVER (21)7.8.4 禁用BOOTP SERVER (22)7.8.5 禁用Finger服务（可选） (22)7.8.6 禁用DNS查询（可选） (23)7.8.7 禁用IP Source Routing（可选） (23)7.8.8 禁用IP Directed Broadcast（可选） (24)7.8.9 禁用PROXY ARP（可选） (25)7.9 其它 (25)7.9.1 路由器缺省BANNER管理 (26)7.9.2 路由器空闲端口管理 (26)附录A 安全基线配置项应用统计表 (28)附录B 安全基线配置项应用问题记录表 (30)附录C NTP服务器列表 (31)1 引言本文档规定了公司使用的思科系列路由器应当遵循的交换机安全性设置标准，是公司安全基线文档之一。

思科路由器基本配置详细教程思科路由器配置过程还是比较复杂的，需要考虑的因素很多，特别在安全方面。

其实没必要把路由器想的那么复杂，其实路由器就是一个具有多个端口的计算机，只不过它在网络中起到的作用与一般的PC不同而已。

如何才能真正的做好思科路由器的配置工作?下面，我们就针对这个问题详细的介绍一下。

一、思科路由器的简介所有思科路由器配置的IOS都是一个嵌入式软件体系结构。

和普通计算机一样，路由器也需要一个操作系统，思科把这个操作系统叫作思科互联网络操作系统，也就是我们知道的IOS。

思科IOS软件提供以下网络服务：可扩展的网络结构、基本的路由和交换功能、可靠和安全的访问网络资源。

思科命令行界面CLI用一个分等级的结构，这个结构需要在不同的模式下来完成特定的任务。

例如配置一个路由器的接口，用户就必须进入到路由器的接口配置模式下，所有的配置都只会应用到这个接口上。

每一个不同的配置模式都会有特定的命令提示符。

EXEC为IOS软件提供一个命令解释服务，当每一个命令键入后EXEC便会执行该命令。

二、思科路由器的配置在第一次进行思科路由器配置的时候，我们需要从console端口来进行配置。

以下就是如何连接到控制端口及设置虚拟终端程序的方法：1使用rollover线和一个RJ45和DB9或者DB25的转换适配器连接路由器控制端口和终端计算机。

如何连接到思科路由器的控制端口：控制端口consoleport和辅助端口AUXport是思科路由器的两个管理端口，这两个端口都可以在第一次进行思科路由器配置时使用，但是我们一般都推荐使用控制端口，因为并不是所有的路由器都会有AUX端口。

2当路由器第一次启动时，默认的情况下是没有网络参数的，路由器不能与任何网络进行通信。

所以我们需要一个RS-232ASCLL终端或者计算机仿真ASCLL终端与控制端口进行连接。

3连接到CONSOLE端口的方法连接线缆：连接到console端口我们需要一根rollover线缆和RJ-45转DB-9的适配器。

引言概述：在现代网络中，路由器是连接计算机网络的关键设备之一。

其中思科路由器是业界认可的品牌，并且广泛应用于企业和家庭网络中。

本文将详细介绍如何配置思科路由器，帮助读者了解和掌握路由器配置的基本知识和技巧。

正文内容：一、连接路由器1.检查硬件连接：确保所有线缆正确插入路由器和计算机的相应端口。

2.配置本地网络：通过计算机的网络设置，将本地IP地质和子网掩码设置为与路由器相同的网段。

二、路由器基本设置1.登录路由器：通过输入默认的IP地质（一般为192.168.1.1或192.168.0.1）在浏览器中访问路由器的登录页面，输入管理员用户名和密码。

2.修改管理员密码：为了增加路由器的安全性，第一次登录时应该修改管理员密码。

3.更新路由器固件：使用最新的路由器固件可以提供更好的性能和安全性。

4.配置时间和日期：确保路由器的时间和日期正确，这对于日志记录和网络安全非常重要。

三、WAN设置1.配置接入类型：根据网络服务提供商的要求，选择正确的接入类型，例如DHCP、静态IP等。

2.配置PPPoE连接：如果使用PPPoE方式拨号上网，需要输入提供商提供的用户名和密码进行配置。

3.配置动态DNS：如果需要使用动态DNS功能，可以在此处输入相应的信息。

四、LAN设置1.设置局域网IP地质：为路由器设置一个唯一的IP地质，在同一网段内没有重复的IP。

2.配置DHCP服务器：启用DHCP服务器功能，为连接到路由器的设备动态分配IP地质。

3.设置无线网络：为无线网络设置SSID和安全密码，并配置其他相关选项，如频段、通道等。

五、高级设置1.配置端口转发：如果需要将外部访问域名映射到内部服务器，可以在此处进行端口转发配置。

2.配置虚拟专用网络（VPN）：为用户提供远程访问网络的安全通道。

3.设置防火墙规则：根据网络需求设置适当的防火墙规则来保护网络安全。

4.配置质量服务（QoS）：可以通过设置QoS规则提高特定应用程序或设备的网络性能。

中国移动公司--思科路由器安全配置规范S p e c i f i c a t i o n f o r C i s c o R o u t e rC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：2.０X X X X-X X-X X发布X X X X-X X-X X实施中国移动通信有限公司网络部目录1范围 (1)2规范性引用文件 (1)2.1内部引用 (1)2.2外部引用 (2)3术语、定义和缩略语 (2)4思科路由器设备安全配置要求 (3)4.1直接引用《通用规范》的配置要求 (3)4.2账号管理、认证授权 (11)4.2.1账户 (11)4.2.2口令 (12)4.2.3授权 (13)4.2.4认证 (13)4.3日志安全要求 (14)4.4IP协议安全要求 (17)4.4.1基本协议安全 (17)4.4.2路由协议安全 (23)4.4.3SNMP协议安全 (27)4.4.4MPLS安全 (28)4.5其他安全要求 (29)5编制历史 (34)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准起草单位：中国移动通信有限公司网络部、中国移动集团上海公司。

本标准解释单位：同提出单位。

本标准主要起草人：刘金根、程晓鸣、陈敏时、周智、曹一生。

1范围本规范适用于中国移动通信网、业务系统和支撑系统的思科路由器。

本规范明确了思科路由器安全配置方面的基本要求。

2规范性引用文件2.1 内部引用本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的思科路由器安全配置要求。