路由器增强安全配置

服务名称 服务内容

Global服务配置 通过考察骨干节点上的骨干路由器配置情况，结合实际需求，打开某些必要的服务或是关闭一些不必要的服务。例如：no service fingerno service pad等

Interface服务配置 根据制定好的基本配置方案对路由器进行配置检查，删去某些不必要ip特性，诸如：no ip redirectsno ip drected-broadcast

CDP配置 根据ISP网络的特点，以及制定好的方案，配置路由器的CDP。

Login Banner配置 修改login banner，隐藏路由器系统真实信息。

Enable secret配置 使用enable secret来加密secret口令。

Nagle配置 通过Nagle配置来提高安全性，也提高了路由器telnet session的性能。

Ident配置 通过ident配置来增加路由器安全性。

超时配置 配置VTY，Console的超时来增加系统访问安全性。

访问控制配置 通过配置VTY端口的Access List来增加系统访问的安全性。

VTY访问配置 配置VTY的访问方式，如SSH来增加系统访问的安全性。

用户验证配置 配置用户验证方式以增强系统访问的安全性。

AAA方式配置 配置AAA方式来增加用户访问安全性。

 

路由命令审计配置 配置AAA命令记账来增强系统访问安全性。

Ingress和Egress路由过滤 在边界路由器上配置Ingress和Egress

Ingress和Egress包过滤 通过配置Ingress包过滤防止非法IP地址接受；通过配置Egress包过滤防止非法IP地址传输，同时还将解决过滤规则和性能之间的平衡问题。

Unicast RPF配置 通过配置Unicast RPF，保护ISP的客户来增强ISP自身的安全性。服务提供Single Homed租用线客户、PSTN/ISDN/xDSL客户或是Multihomed租用线路客户的Unicast RPF配置。

路由协议验证配置 配置临近路由器验证协议，以确保可靠性路由信息的交换，可以配置明文验证或是MD5验证，来加密。

CAR配置 配置路由器CAR功能以防止SMURF攻击。

更多安全高级配置 根据具体情况提供更多的高级安全配置

本文引用地址：http://www.linuxdiyf.com/1/wl/2006/0718/content_1318.htm