路由器网络服务安全配置
1,禁止CDP(Cisco Discovery Protocol)。如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2,禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3,禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4,建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。如:
Router(Config)# username BluShin privilege 10 G00dPa55w0rdRouter(Config)# ip http auth local
Router(Config)# no access-list 10
Router(Config)# access-list 10 permit 192.168.0.1
Router(Config)# access-list 10 deny any
Router(Config)# ip http access-class 10
Router(Config)# ip http server
Router(Config)# exit
5,禁止BOOTp服务。
Router(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件。
Router(Config)# no boot network
Router(Config)# no servic config
6,禁止IP Source Routing。
Router(Config)# no ip source-route
7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8,明确的禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9,禁止IP Classless。
Router(Config)# no ip classless
10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:
Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RW
Router(Config)# no access-list 70
Router(Config)# access-list 70 deny any
Router(Config)# snmp-server community MoreHardPublic Ro 70
Router(Config)# no snmp-server enable traps
Router(Config)# no snmp-server system-shutdown
Router(Config)# no snmp-server trap-anth
Router(Config)# no snmp-server
Router(Config)# end
12,如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 202.102.134.96
13,明确禁止不使用的端口。
Router(Config)# interface eth0/3
Router(Config)# shutdown
文章录入:csh 责任编辑:csh
相关推荐
-
路由器网络服务安全配置
1,禁止CDP(Cisco Discovery Protocol).如: Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP.UDP Small服务. Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3,禁止Finger服务. Router(Config)# no ip fing
-
详解Docker中VLAN网络模式的配置
前言 Docker作为目前最火的轻量级容器技术,有很多令人称道的功能,如Docker的镜像管理.然而,Docker同样有着很多不完善的地方,网络 方面就是Docker比较薄弱的部分.因此,我们有必要深入了解Docker的网络知识,以满足更高的网络需求. Docker网络模式选择 目前已有不少文章介绍了Docker的网络模型,但是在实际应用中还是有不少坑和需要注意的点 在Docker应用到生产环境的时候,网络模型的选择主要有以下几种 1.原生Bridge NAT模式 2.Linux Bridge
-
SpringBoot集成Tomcat服务架构配置
目录 一.Tomcat集成 1.依赖层级 2.自动化配置 二.Tomcat架构 三.Tomcat配置 1.基础配置 2.属性配置类 3.配置加载分析 四.周期管理方法 1.控制类 2.核心方法 一.Tomcat集成 使用的成本越低,内部封装越复杂: 1.依赖层级 在SpringBoot框架的web依赖包中,引入的是内嵌Tomcat组件,基于SpringBoot的版本,Tomcat集成的是9.0版本: <!-- 1.项目工程依赖 --> <dependency> <groupI
-
CentOS6.9下NFS服务安装配置教程
服务器环境:CentOS6.9 Linux 2.6.32-696.el6.x86_64 安装NFS服务 nfs客户端和服务端都只需要安装nfs-utils包即可,并且yum安装时会连带安装rpcbind服务 # yum -y install nfs-utils 开机启动 # chkconfig rpcbind on # chkconfig nfs on 出于运维管理的需要,能够快速查找相关启动的服务,配置chkconfig的同时,追加开机启动脚本 # tail -2 /etc/rc.local
-
使用php来实现网络服务
作者:samisa 以下文中的翻译名称对照表 : payload: 交谈内容 object: 实例 function: 函数 使用 php来实现网络服务 使用框架: WSO2 WSF/PHP 安装环境: windows 或者 linux (厌恶于眼下计算机文章夹杂无数难懂的翻译以及术语,此处尽量使用口语以及汉语.) WSMessages 类: 在调用网络服务的过程中,需要两个消息,发送的消息和接受的消息,又来有往方能来往不是. WSMessages 这个类就是在 Web services fra
-
asp.net core webapi 服务端配置跨域的实例
在前后端分离开发中服务端仅仅只为前端提供api接口,并且前后端往往单独部署,此时就会出现浏览器跨域问题.asp.net core提供了简单优雅的解决方案. 在startup文件的Configure添加如下代码(替换"http://localhost:8080"为你的前端部署地址,此处测试的前端地址为本地的8080端口) 注:asp.net core2.0以下需安装nuget包:Microsoft.AspNetCore.Cors app.UseCors(builder => { b
-
Nginx服务优化配置方案
1.expires缓存模块 具体配置可参考官方文档 http://nginx.org/en/docs/http/ngx_http_headers_module.html#expires [root@cairui conf]# cat nginx.conf | egrep -v "#|^$" user nginx; worker_processes 1; events { worker_connections 1024; } http { include mime.types; defa
-
docker 安装 php-fpm 服务 / 扩展 / 配置的示例教程详解
在 mac 上用 brew 装 php56 时,因为 openssl 是 1.1 版本而导致各种 google 都搞不定的错误,太折腾了,现在用 docker 创建一个 php56-fpm 服务容器,nginx 直装在宿主机上. PHP DockerHub 主页 创建容器 # 创建容器 docker run -d \ --name php56-fpm \ -p 9056:9000 \ -v /home/wwwroot:/var/www/html --privileged=true php:5.6
-
nginx网站服务如何配置防盗链(推荐)
一.盗链原理 1.1 网页准备 Web源主机(192.168.153.20)配置 cd /usr/local/nginx/html 将preview.jpg图片文件传到/usr/local/nginx/html目录下 vim index.html ...... <img src="preview.jpg"/> </body> </html> echo "192.168.153.20 www.wt.com" >> /et
-
.Net Core实现选择数据热更新让服务感知配置的变化
1.说明 当一些配置需要修改在进行获取时,通常做法是修改完配置文件后再重启web服务器或者docker进行完成,下面我介绍一种热更新方法,修改完配置文件后,不需要重启服务器即可获取最新的配置文件,让服务感知配置的变化. 2.实践 下面我通过二种方式来讲解一下.Net Core实现选择数据热更新,让服务感知配置的变化. 2.1 通过AddSingleton单例方式注入,然后使用 IOptionsMonitor实现数据热更新 2.1.1 首先在Startup.cs文件中的ConfigureServi