路由器安全设置详解

作者: kaida 出处:开达科技　2008-05-15 09:29　砖好评论条　进入论坛

阅读提示：本文介绍了路由器安全设置的代码。

随着Internet的快速发展和政府、企业上网工程的日益推广，越来越多的政府机关和企业在网络上建立网站来进行对外宣传，这样，网络上的安全问题就显得日益突出。许多政府机关及企业都安装了防火墙来保证网络服务器的安全，却往往忽视了站在最前沿的“卫士”——路由器。在网络上，一旦有人恶意进入你的路由器，将对你的网络安全产生极大的威胁。

路由器安全设置：

hostname Perimeter-Router ! 路由器名称

enable secret ena-secret ! 特权访问口令为 ena-secret

interface serial 0 ! 定义接口

description To The Internet ! 目的描述

ip address 161.71.73.33 255.255.255.248 ! 设置IP地址

ip access-list 101 in ! 定义入站过滤器

ip access-list 102 out ! 定义出站过滤器

access-list 101 permit tcp any any established Note 1 ! 允许所有tcp业务流入，

会话始于园区网内

access-list 101 permit tcp any host 144.254.1.3 eq ftp ! 允许 ftp 到不洁网

!（dirty net ）中的ftp服务器

access-lsit 101 permit tcp any host 144.254.1.3 eq ! 允许 ftp 数据到不洁网中

的ftp服务器

ftp-date

access-list 101 deny ip 127.0.0.0 0.255.255.255 any ! 阻止来自Internet并以RFC

access-list 101 deny ip 10.0.0.0 0.255.255.255 any !保留地址为源的数据包入站

access-list 101 deny ip 172.16.0.0 0.240.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny icmp any any echo-reply ! 拒绝任何应答

access-list 101 deny icmp any any host-unreachable ! 拒绝任何无法接通的主机

access-list 101 deny udp any any eq snmp ! 拒绝引入的SNMP

access-list 101 deny udp any eq 2000 ! 拒绝引入的openwindows

access-list 101 deny udp any any gt 6000 ! 拒绝引入的X-windows

access-list 101 deny tcp any any eq 2000 ! 拒绝引入的openwindows

access-list 101 deny tcp any any gt 6000 ! 拒绝引入的X-windows

access-list 101 deny udp any any eq 69 ! 拒绝引入的tftpd

access-list 101 deny udp any any eq 111 ! 拒绝引入的SunRPC

access-list 101 deny udp any any eq 2049 ! 拒绝引入的NFS

access-list 101 deny tcp any any eq 111 ! 拒绝引入的SunRPC

access-list 101 deny tcp any any eq 2049 ! 拒绝引入的 NFS

access-list 101 deny tcp any any eq 87 ! 拒绝引入的连接

access-list 101 deny tcp any any eq 512 ! 拒绝引入的 BSD UNIX “r”指令

access-list 101 deny tcp any any eq 513 ! 拒绝引入的 BSD UNIX “r”指令

access-list 101 deny tcp any any eq 514 ! 拒绝引入的 BSD UNIX “r”指令

access-list 101 deny tcp any any eq 515 ! 拒绝引入的 lpd

access-list 101 deny tcp any any eq 540 ! 拒绝引入的 uucpd

access-list 101 permit ip any any ! 其它均允许

access-list 102 permit ip 144.254.0.0 0.0.255.255 any ! 只允许有源的包

access-list 102 deny ip any any ! 园区网到Internet的地址

aaa new-model ! 在全范围实现AAA

aaa authentication login default tacacs+ !默认登录方法经由 tacacs+

aaa authentication login staff tacacs+ local !通过tacacs+鉴别工作人员用户名...

! 如果无法连接服务器，退而求其次的方法是本地鉴别

aaa authorization exec tacacs+ local ! 鉴别通过后，授权运行 exec shell

aaa authorization commands 0 tacacs+ none ! 鉴别与指定特权等级相关的运行模式指令

aaa authorization commands 1 tacacs+ none ! 如果无可用的tacacs+ 服务器，

aaa authorization commands 15 tacacs+ local ! 15级权限指令就需要本地鉴别，其它

! 不需要任何鉴别

aaa accounting update newinfo ! 每当有新的记帐信息需要报告时，中间记帐

! 记录将被送到服务器

aaa accounting exec start-stop tacacs+ ! 对终端会话进行记帐

aaa accounting network start-stop tacacs+ ! 对所有 PPP, SLIP和ARAP连接记帐

username staff password 7 staffpassword ! 创建本地口令并以加密格式存储

tacacs-server host 144.254.5.9 ! 定义tacacs+ 服务器地址

tacacs-server key thisisasecret ! 定义共享的 tacacs+ 密码

line con 0

exec-timeout 5 30 ! 确认控制台会话结束时间

line aux 0

transport input none ! 没有telnet进入

no exec ! 该端口没有得到运行提示

line vty 0 3

exec-timeout 5 30 ! 确认 telnet 会话结束时间

privilege level 15 ! 获得15级权限

line vty 4

exec-timeout 5 30 ! 确认 telnet 会话结束时间

rotary 1

privilege level 1

logging on ! 开启syslog

logging 144.254.5.5 ! 定义syslog服务器地址

logging console information ! 定义登录的信息

【相关文章】

保障网络安全：合理配置路由器的安全措施

无线局域网安全设置五个基本点

【责任编辑：王健楠 TEL：（010）68476606】

关于安全设置路由器的

文章

博文

帖子

· 路由器安全设置全接触(05/15)

· 路由器基本原理与安全设置技巧(05/05)

· 通过路由器基础设置使网络更安全(03/11)

· 守卫网络门户路由器安全设置接触(04/23)

· 网络层访问权限控制技术－ACL详解(05/14)

· IIS后门设置器

· 四原则选择归档系统分级存储实现安全扩展

· 安全建设总述

· 5月第2周安全回顾 Wi-Fi无线安全建议微软修补..

· Chinasec（安元）可信网络安全平台有谁用过？..

· 【内网安全问题】偷什么别偷良心！（怎么防止..

专题

我也说两句

叫好

拍砖

中国领先的 IT 技术网站 ·
技术成就梦想

·轻松学习理解ACL访问控制列表
·有效提升网络运行性能的三种策略分..

· 六大运营商公布地震灾..
· 中国电信：最迟16日修..
· 华为捐款500万元奔赴..
· OSPF NSSA 容易被忽略..
· Catalyst 6000/6500 系..
· Practice Lab 3:多路由..

· 排除网络故障的一个总..
· 网线线序造成上网不正常
· 为何无法拷贝网络上的..
· 土鸡蛋也有不少安全隐..
· 取取内网安全的经，行..
· 浅谈内网安全与企业管理

排行榜

·路由器设置与口令恢复 (查看121327次)
·常用交换机典型配置 (查看71131次)
·华为员工自杀频频拷问企业文化 (查看59966次)
·网络管理员考试全真模拟试题(八.. (查看52717次)
·三层交换技术专题 (查看44982次)

·2006无线校园建设与应用大会将召开 (1031个砖)
·51CTO专访：造中国特色VPN产品 (446个砖)
·子网掩码教程 (324个砖)
·三层交换技术专题 (267个砖)
·专访锐捷：校园网现状是少规划性价比差 (168个砖)

·51CTO调查：8成网友不满现在的网速 (674个好)
·51CTO专访：造中国特色VPN产品 (533个好)
·子网掩码教程 (456个好)
·三层交换技术专题 (263个好)
·无线网状网（MESH） (236个好)

·思科全球CEO钱伯斯第七次访华 (04月)
·运营商封堵非法ADSL共享 (12月)
·计算机网络维护入门 (11月)
·十大正在慢慢死去的IT技术 (11月)
·未来五年可能必备的10大网络技术 (11月)

·图解用Wubi五步安装Ubuntu8.04
·ARP攻击与防御解决方案

· Linux下开源浏览器“冰..
· 用实例学J2EE：网上订..
· Web Client Software F..
· Python GUI窗口程序DIY..
· 怎样在Visual C# .NET..
· 网站如何选取后台数据..
· 甲骨文为Eclipse用户规..
· Wubi安装Ubuntu8.04图解

· Mozilla Firefox 3.0 R..
· IT技术人同献爱心行动..
· 北京奥运门票首次内嵌R..
· Java多线程模拟多站点..
· SOA五种主要技术标准的..
· 软考办专家坐客51CTO实..
· 用SMTP/POP3访问Exchan..
· 四川汶川大地震 IT技术..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖