1,禁止CDP(Cisco Discovery Protocol)。如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2,禁止其他的TCP、UDP Small服務(wù)。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3,禁止Finger服務(wù)。
Router(Config)# no ip finger
Router(Config)# no service finger
4,建議禁止HTTP服務(wù)。
Router(Config)# no ip http server
如果啟用了HTTP服務(wù)則需要對(duì)其進(jìn)行安全配置:設(shè)置用戶名和密碼;采用訪問列表進(jìn)行控制。如:
Router(Config)# username BluShin privilege 10 G00dPa55w0rd |
5,禁止BOOTp服務(wù)。
Router(Config)# no ip bootp server
禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件。
Router(Config)# no boot network
Router(Config)# no servic config
6,禁止IP Source Routing。
Router(Config)# no ip source-route
7,建議如果不需要ARP-Proxy服務(wù)則禁止它,路由器默認(rèn)識(shí)開啟的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8,明確的禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9,禁止IP Classless。
Router(Config)# no ip classless
10,禁止ICMP協(xié)議的IP Unreachables,Redirects,Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11,建議禁止SNMP協(xié)議服務(wù)。在禁止時(shí)必須刪除一些SNMP服務(wù)的默認(rèn)配置。或者需要訪問列表來過濾。如:
Router(Config)# no snmp-server community public Ro |
12,如果沒必要?jiǎng)t禁止WINS和DNS服務(wù)。
Router(Config)# no ip domain-lookup
如果需要?jiǎng)t需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 202.102.134.96
13,明確禁止不使用的端口。
Router(Config)# interface eth0/3
Router(Config)# shutdown
