15網(wǎng)絡設備上線安全手冊網(wǎng)絡設備上線安全手冊網(wǎng)絡設備上線安全手冊77網(wǎng)絡設備上線安全手冊大的安全隱患時，我司應馬上對系統(tǒng)進展升級或更。MD5enablelinevirtualterminallines問設置密碼并加密保護：Enablesecretenablesecret02manyRt3s〔口令例如〕ConsoleLinelinecon0passwordSoda-4-jimmY〔口令例如〕AuxiliaryLinelineaux0passwordPopcorn-4-sara〔口令例如〕VTYLineslinevty04passwordDots-4-georg3〔口令例如〕Basicprotectionservicepassword-encryptionAUXConsoleEXECMD5SSHEnablesecretenablesecretsecret訪問掌握配置：通過配置VTY端口的AccessList來增加系統(tǒng)訪問的安全性。VTYVTYSSHIPTelnetACL，限定可遠程登IP受一位治理員工作站的訪問，避開DoSVTY員離開時掌握臺被他人使用。非缺省值。確保全部的接口都禁用CDP協(xié)議，以防止設備上的關鍵信息的泄露。

鎖住到路由器的SNMP訪問。通過使用認證來掌握對路由器的訪問。以相應的優(yōu)先權登錄，使用分級用戶配置治理方式。路由更的認證，路由更的認證會增加安全，但路由更認證也會帶來路由更問題；我司使用的是專線網(wǎng)絡，所以可以不考慮路由更的認證。loginbanner，隱蔽路由器系統(tǒng)真實信息，防止真實信息的泄露。

AAAAAA

路由器應當開啟日志功能假設路由器沒有足夠的空間，需要將日志傳送到日志效勞器上保存。假設邊界路由器未協(xié)作防火墻、IDS、Sniffer等技術使用，必需支持詳盡的日志信息。作等具體信息，為覺察潛在攻擊者的不良行為供給有力依據(jù)。狀況要準時處理和報告上級主管，盡早消退網(wǎng)絡安全隱患。接口安全配置命令Unusedinterfaces-shutdownNoSmurfattacks-noipdirected-broadcastAd-hocrouting-noipproxy-arp放的范圍以及數(shù)據(jù)的流向；showproc命令，關閉確實沒用的效勞：Smallservices(echo,discard,chargen,etc.)noservicetcp-small-serversnoserviceudp-small-serversBOOTP-noipbootpserverFinger-noservicefinger-noipserverIdentd-noipidentd(someIOSversions)SNMP-nosnmp-serverCDP-nocdprunRemoteconfig.-noserviceconfigSourcerouting-noipsource-routeServicePortServicePortTypePortNumberDNSZoneTransfersexceptTCP53fromexternalsecondaryDNSserversTFTPDaemonUDP69LinkTCP87SUNRPCTCP&UDP111BSDUNIXTCP512–514LPDTCP515UUCPDTCP540OpenWindowsTCP&UDP2023NFSTCP&UDP2049XWindowsTCP&UDP6000–6255SmallservicesTCP&UDP20andbelowFTPTCP21SSHTCP22TelnetTCP23SMTP (except externalmailrelays)TCP25NTPUDP123FingerTCP79(excepttoexternalwebservers)TCP80POPTCP109&110NNTPTCP119NetBIOSinWindowsNTTCP&UDP135NetBIOSinWindowsNTUDP137&138NetBIOSTCP139IMAPTCP143SNMPTCP161&162SNMPUDP161&162BGPTCP179LDAPTCP&UDP389SSL(excepttoexternalwebservers)TCP443NetBIOSinWin2kTCP&UDP445SyslogUDP514SOCKSTCP1080CiscoAUXportCiscoAUXportTCP2023CiscoAUXport(stream)TCP4001Lockd(LinuxD