| 为了增强网络设备的抗攻击性,网络设备提供服务关闭及恶意信息过滤等功能,以提升网络设备的自身安全保护能力。
|
|
|
|
|
| 网络设备自身提供许多网络服务,例如Telnet、Finger、HTTP等。这些服务虽然给管理带来了方便,但也留下了安全隐患。为了增强网络设备的安全,减少网络攻击面,网络设备应尽量不提供网络服务,或者关闭危险的网络服务,或者限制网络服务范围。
|
|
|
|
|
|
|
|
|
| 禁止路由器接收更新192.168.1.0网络的路由信息。
|
|
|
|
|
| 禁止路由器转发传播192.168.1.0网络的路由信息。
|
|
|
|
|
| 禁止默认启用的ARP-Proxy,避免引起路由表的混乱。
|
|
|
|
|
|
|
| 为保证路由协议的正常运行,用户在配置路由器时要使用协议认证。如果不是这样,路由器就会来者不拒,接收任意的路由信息,从而可能被恶意利用。例如,某个人使用一些RIP或OSPF软件,或简单地给路由器发送一些错误RIP、OSPF或EIGRP包,那么路由器会得到一些错误的路由信息,从而产生IP寻址错误,造成网络瘫痪。因此,必须通过一些安全措施来实现路由器的协议安全运行。
|
|
|
|
|
|
|
|
|
| 只有RIP-V2支持,RIP-V1不支持。建议启用RIP-V2,并且采用MD5认证。普通认证同样是明文传输的。
|
|
|
|
|
| 启用IP Unicast Reverse-Path Verification
|
|
|
| 能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。
|
|
|
|
|
