思科作为路由行业中的领军人物，其产品在市场中的需求量很高，这里就针对Cisco 路由器，讲解如何对路由器进行有效的安全加固。根据木桶理论，一个桶能装多少水，取决于这个桶最短的那块木板。具体到信息系统的安全也是一样，整个信息系统的安全程度也取决于信息系统中最薄弱的环节，网络做为信息系统的体，其安全需求的重要性是显而易见的。 

网络层面的安全主要有两个方面，一是数据层面的安全，使用ACL等技术手段，辅助应用系统增强系统的整体安全；二是控制层面的安全，通过限制对网络设备自身的访问，增强网络设备自身的安全性。

一、 控制层面主要安全威协与应对原则 

网络设备的控制层面的实质还是运行的一个操作系统，既然是一个操作系统，那么，其它操作系统可能遇到的安全威胁网络设备都有可能遇到；总结起来有如下几个方面： 

1、 系统自身的缺陷：操作系统作为一个复杂系统，不论在发布之前多么仔细的进行测试，总会有缺陷产生的。出现缺陷后的唯一办法就是尽快给系统要上补丁。Cisco IOS/Catos与其它通用操作系统的区别在于，IOS/Catos需要将整个系统更换为打过补丁的系统。
 
2、 系统缺省服务：与大多数能用操作系统一样，IOS与CatOS缺省情况下也开了一大堆服务，这些服务可能会引起潜在的安全风险，解决的办法是按最小特权原则，关闭这些不需要的服务。 

3、 弱密码与明文密码：在IOS中，特权密码的加密方式强加密有弱加密两种，而普通存取密码在缺省情况下则是明文；
 
4、 非授权用户可以管理设备：既可以通过telnet\snmp通过网络对设备进行带内管理，还可以通过console与aux口对设备进行带外管理。缺省情况下带外管理是没有密码限制的。隐含较大的安全风险； 

5、 CDP协议造成设备信息的泄漏； 

6、 DDOS攻击导致设备不能正常运行，解决方案，使用控制面策略，限制到控制层面的流量； 

7、 发生安全风险之后，缺省审计功能。
 
二、 Cisco 路由器IOS加固 

对于12.3(4)T之后的IOS版本，可以通过autosecure命令完成下述大多数功能，考虑到大部分用户还没有条件升级到该IOS版本，这里仍然列出需要使用到的命令行：

1、Cisco 路由器如何禁用不需要的服务： 
no ip http server　　
no ip source-route　　 //禁用IP源路由，防止路由欺骗 
no service finger //禁用finger服务　 
no ip bootp server　　　//禁用bootp服务 
no service udp-small-s //小的udp服务 
no service tcp-small-s //禁用小的tcp服务 

2、Cisco 路由器如何关闭CDP：
no cdp run //禁用cdp 

3、Cisco 路由器配置强加密与启用密码加密： 
service password-encryption　
enable secret asdfajkls　　　//配置强加密的特权密码 
no enable password　　　　　 //禁用弱加密的特权密码 

4、Cisco 路由器配置log server、时间服务及与用于带内管理的ACL等，便于进行安全审计：
service timestamp log datetime localtime  
logging 192.168.0.1 //向192.168.0.1发送log 
logging 192.168.0.2 //向192.168.0.2发送log 
access-list 98的主机进行通讯 
no access-list 99 //在配置一个新的acl前先清空该ACL 
access-list 99 permit 192.168.0.0 0.0.0.255 
access-list 99 deny any log
no access-list 98
access-list 98 permit host 192.168.0.1 
access-list 98 deny any log
clock timezone PST-8 //设置时区 
ntp authenticate　　　　　　 //启用NTP认证 
ntp authentication-key 1 md5 uadsf
ntp trusted-key 1　　　　　　　　　　//可以信任的Key. 
ntp acess-group peer 98 //设置ntp服务，只允许对端为符合access-list 98条件的主机 
ntp server 192.168.0.1 key 1　　　　
 
5、对带内管理行为进行限制： 
snmp-server community HSDxdf ro 98
line vty 0 4 
access-class 99 in
login 
password 0 asdfaksdlf　　　　//配置telnet密码 
exec-timeout 2 0　　　　　　 //配置虚终端超时参数，这里是2分钟 
 
6、对带外管理行为进行限制： 
line con 0 
login 
password 0 adsfoii //配置console口的密码 
exec-timeout 2 0　　　　　　 //配置console口超时参数，这里是两分钟 
line aux 0 
transport input none 
password 0 asfdkalsfj　　　　 
no exec 
exit 

三、 Cisco 路由器CatOS加固 

1、 禁用不需要的服务： 
set cdp disable //禁用cdp 
set ip http disable 　　  

2、 配置时间及日志参数，便于进行安全审计： 
set logging timestamp enable //启用log时间戳 
set logging server 192.168.0.1 //向192.168.0.1发送log 
set logging server 192.168.0.2 //向192.168.0.2发送log! 
set timezone PST-8 //设置时区 
set ntp authenticate enable　　　　　　 //启用NTP认证 
set ntp key 1 md5 uadsf
set ntp server 192.168.0.1 key 1　
set ntp client enable //启用ntp client 

3、 限制带内管理： 
set snmp community HSDxdf //配置snmp只读通讯字 
set ip permit enable snmp //启用snmp访问控制 
set ip permit 192.168.0.1 snmp　
set ip permit enable telnet
set ip permit 192.168.0.1 telnet　
set password //配置telnet密码 
set enable 　 　 //配置特权密码 
set logout 2