这是从Team Cymru那里修改的我的路由器配置模板。
!如果没有Cisco路由器上的服务nagle,则Telnet会话中的每个字符都是单独的CPU中断。因此,诸如show tech之类的命令将强制执行大量CPU中断,从而影响路由器的性能。
服务包
服务tcp-keepalives-in
服务tcp-keepalives-out
!
!在我们的日志中显示大量时间戳
服务时间戳调试日期时间毫秒,显示时区本地时间
服务时间戳记日志日期时间毫秒显示时区本地时间
!确保在显示配置时混淆所有密码和机密
服务密码加密
没有服务DHCP
没有IP Bootp服务器
!
主机名 xxxxxx
!
引导系统闪存:c2900-universalk9-mz.SPA.151-4.M.bin
日志记录缓冲16384调试
没有日志记录控制台
!“秘密”可确保在使用“服务密码加密”时使用MD5。
启用秘密 xxxxxx
没有启用密码
!
!将TACACS +用于AAA。
aaa新模型
aaa身份验证登录默认组tacacs +本地大小写
aaa身份验证启用默认组tacacs +启用
aaa授权命令15个默认组tacacs +本地
aaa会计执行人员默认仅止损组tacacs +
aaa记帐命令15个默认的仅停止组tacacs +
aaa会计网络默认仅停止组tacacs +
tacacs服务器主机10.2.2.2
塔卡奇服务器密钥 xxxxxx
!
中国体育彩票开奖 dhcp bootp忽略
! 如果TACACS +失败,请使用区分大小写的本地身份验证。
用户名 管理员1 secret 0 1q2w3e4r!
!本地用户只能显示正在运行的配置
用户名localit secret 思科公司1234
用户名localit权限15自动命令显示正在运行
! localadmin用户可以进行更多的故障排除并运行“ show config”
用户名localadmin权限7个机密Cisco1234
!
特权执行级别7 show config
! 记录并存档命令和更改
封存
log config
测井 enable
测井 size 500
notify syslog
hidekeys
path flash:backup-
write-memory
maximum 8
!
! 确保TCL在可用的情况下不使用初始化文件。
没有脚本tcl init
没有脚本tcl encdir
!
! 启用netflow顶部对话者功能。您可以使用show 中国体育彩票开奖 flow top-talkers命令查看前N个对话者(在此示例中为50个)。这很方便!在DDoS攻击和流量问题期间使用的实用程序。您可以根据需要对数据包或字节进行排序。
中国体育彩票开奖 flow-top-talkers
top 50
sort-by packets
!
! 不要运行HTTP服务器。
没有IP HTTP服务器
没有IP HTTP安全服务器
!
! 允许我们使用低层子网并进入无类状态
中国体育彩票开奖子网零
中国体育彩票开奖无类
!
! 禁用有害服务
没有服务垫
没有中国体育彩票开奖源路由
没有中国体育彩票开奖手指
没有IP Bootp服务器
没有IP网域查询
!
! 阻止暴力登录尝试,同时保持对合法源地址的访问。
登录块-100次尝试100次中的15次
登录安静模式访问级别100
登录失败日志
登录成功日志
!
! 捕获故障转储;使用“安全路由器”非常重要。
中国体育彩票开奖 ftp用户名rooter
中国体育彩票开奖 ftp密码<PASSWORD>
! 为我们的核心转储文件指定一个唯一的名称。
异常核心文件secure-router01-core
异常协议ftp
异常转储10.2.2.3
!
! 为性能和安全性启动CEF。
中国体育彩票开奖 cef
!
ntp身份验证密钥6767 md5<SECRETKEY>
ntp验证
ntp更新日历
ntp服务器10.3.3.3
!
! 将loopback0接口配置为我们的日志源 messages.
int loopback0
IP地址10.10.10.10 255.255.255.255
no 中国体育彩票开奖 redirects
no 中国体育彩票开奖 unreachables
no 中国体育彩票开奖 proxy-arp
!
! 将null0配置为发送顽皮数据包的位置。
接口null0
no 中国体育彩票开奖 unreachables
!
接口Ethernet2 / 0
描述面向互联网的不受保护的界面
IP地址199.116.2.14 255.255.255.240
!我们是否运行CEF验证?是,如果数据路径是对称的。没有 如果数据路径不对称。
中国体育彩票开奖验证单播反向路径
!应用我们的模板ACL
中国体育彩票开奖 access-group 2010中
!允许UDP占用不超过2 Mb / s的管道。
速率限制输入访问组150 2010000 250000 250000一致动作发送超出动作下降
!允许ICMP占用不超过500 Kb / s的管道。
速率限制输入访问组160 500000 62500 62500一致动作发送超出动作下降
!允许多播占用不超过管道的5 Mb / s。
速率限制输入访问组170 5000000 375000 375000一致动作发送超出动作下降
!不要发送重定向。
no 中国体育彩票开奖 redirects
!不要发送无法到达的邮件。 请注意,这可能会中断PMTU发现。 F例如,如果此路由器是任何类型的VPN的边缘,则可能需要 使中国体育彩票开奖无法访问。 一个典型的症状是ping正常工作,但更大的传输却没有。
no 中国体育彩票开奖 unreachables
!不要宣传蓝精灵攻击。
没有IP定向广播
!不要假装自己不是你。
no 中国体育彩票开奖 proxy-arp
!不要透露我们的网络掩码
no 中国体育彩票开奖 mask-reply
!记录所有顽皮的生意。
中国体育彩票开奖会计访问冲突
!如果您允许网络中的多播或参加
! MBONE,以下多播过滤步骤将有助于
!确保安全的组播环境。这些必须适用
! per interface.
中国体育彩票开奖组播边界30
!
!保留流量数据进行分析。如果可能,将其导出到 cflowd服务器。
中国体育彩票开奖 route-cache flow
!当您在IOS盒上配置与ntp有关的任何内容时,它将开始监听所有 接口。因此,最好将具有公共地址的接口禁用ntp 因此不显示套接字,除非接口打算这样做。
ntp disable
!在所有接口上禁用维护操作协议
no mop enable
!
接口Ethernet2 / 1
描述受保护的接口,面向DMZ
IP地址172.16.2.10 255.255.255.240
中国体育彩票开奖验证单播反向路径
!如果我们使用的是RPF,请注释掉下面的ACL。
中国体育彩票开奖访问组115 in
no 中国体育彩票开奖 redirects
no 中国体育彩票开奖 unreachables
没有IP定向广播
no 中国体育彩票开奖 proxy-arp
中国体育彩票开奖会计访问冲突
中国体育彩票开奖组播边界30
no 中国体育彩票开奖 mask-reply
中国体育彩票开奖 route-cache flow
no mop enable
!
!到Internet的默认路由(可以是路由 协议)
IP路由0.0.0.0 0.0.0.0 199.116.2.1
!路由到防火墙另一侧的网络
中国体育彩票开奖路由10.0.0.0 255.0.0.0 172.16.2.1
!黑洞路线。请勿将其与TCP拦截结合使用; 实际上,根本不使用TCP拦截。
!
! gon
! Cymru团队已从此模板中删除了所有静态Bogon引用
!由于这些Bogon滤镜的应用可能性很高
!将是一次性活动。不幸的是,其中许多模板是 尽管我们警告说硼确实会 更改。
!
!这并不意味着无法自动完成Bogon过滤
!方式。为什么不考虑与我们遍布全球的Bogon进行对等
!路由服务器项目?或者,您可以获得当前的
!通过我们的DNS和RADb服务维护了Bogon提要。阅读更多
!以下链接以了解操作方法!
!
! //www.team-cymru.org/Services/Bogons/
!
!将我们的NetFlow数据导出到我们的NetFlow服务器192.0.2.34。网络流
!提供了一些在追踪真实情况时可能有用的统计信息
!欺骗性攻击的来源。
中国体育彩票开奖 flow-export source loopback0
中国体育彩票开奖 flow-export目标192.0.2.34 2055
中国体育彩票开奖 flow-export版本5 origin-as
!
!将任何有趣的内容记录到日志主机。捕获所有
!使用FACILITY LOCAL5的日志输出。
日志陷阱调试
伐木设施local5
记录源接口回送0
测井 10.2.2.3
!
!使用ACL,重要的是要记录顽皮的人。
!因此,所有ACL的隐式删除均被替换(增强,
!实际上),然后显式删除所有记录尝试的记录。
!您可能希望保留第二个列表(例如2011年)
!日志。在攻击过程中,其他日志记录可能会影响
!路由器的性能。只需复制并粘贴访问列表2010,
!删除log-input关键字,并将其命名为access-list 2011。
!当攻击激增时,您可以在
!具有访问列表2011的面向Internet的界面。
!
!阻止对除日志主机之外的所有主机的SNMP访问
access-list 20备注SNMP ACL
访问列表20许可证192.0.2.34
访问列表20拒绝任何日志
!
!组播–过滤掉明显的顽皮或不必要的流量
access-list 30备注组播过滤ACL
!链接本地
访问列表30拒绝224.0.0.0 0.0.0.255日志
!本地范围
访问列表30拒绝239.0.0.0 0.255.255.255日志
! sgi-dogfight
访问列表30拒绝主机224.0.1.2日志
! ho
访问列表30拒绝主机224.0.1.3日志
! ms-srvloc
访问列表30拒绝主机224.0.1.22日志
! ms-ds
访问列表30拒绝主机224.0.1.24日志
! ms-servloc-da
访问列表30拒绝主机224.0.1.35日志
! hp设备光盘
访问列表30拒绝主机224.0.1.60日志
!允许所有其他多播流量
访问列表30许可224.0.0.0 15.255.255.255日志
!
!禁止访问除日志主机和防火墙以外的所有文件,并记录任何
!拒绝访问尝试。这也有助于创建审核跟踪
!对路由器的所有访问。扩展ACL用于记录一些
!其他数据。
access-list 100备注VTY访问ACL
访问列表100许可tcp主机192.0.2.34主机0.0.0.0范围22 23日志输入
访问列表100许可tcp主机192.0.2.30主机0.0.0.0范围22 23日志输入
访问列表100拒绝中国体育彩票开奖任何日志输入
!
!为了以防万一,请保留一个VTY安全访问。主人
! 192.0.2.40是NOC中的安全主机。如果所有VTY是
!占用后,剩下一个VTY。
访问列表105备注VTY访问ACL
访问列表105允许tcp主机192.0.2.40主机0.0.0.0范围22 23日志输入
访问列表105拒绝中国体育彩票开奖任何日志输入
!
!配置ACL,以防止来自我们网络的欺骗。
!该ACL假定我们仅需要从以下位置访问Internet:
! 192.0.2.32/27网络。如果您还有其他网络
! 192.0.2.32/27,然后将它们添加到此ACL中。
访问列表115备注反欺骗ACL
!首先,允许我们的Intranet访问Internet。
访问列表115许可中国体育彩票开奖 192.0.2.32 0.0.0.31任何
!第二,允许我们的防火墙访问Internet。这很有用
!供测试用。
访问列表115允许IP主机192.0.2.30任意
!现在记录所有其他此类尝试。
访问列表115拒绝中国体育彩票开奖任何日志输入
!
! UDP,ICMP和多播的速率限制(CAR)ACL。
访问列表150备注CAR-UDP ACL
访问列表150允许udp any any
访问列表160备注CAR-ICMP ACL
访问列表160允许icmp任何
访问列表170备注CAR-组播ACL
访问列表170允许中国体育彩票开奖任何224.0.0.0 15.255.255.255
!
!拒绝来自RFC 1918,IANA保留,测试,
!将多播作为源,并将环回网块阻止
!来自通常被欺骗的IP地址的攻击。
访问列表2010备注反Bog ACL
!声称它来自内部网络,但到达了
!外部(阅读:Internet)接口。如果CEF不要使用此
!已配置为照顾欺骗。
!访问列表2010拒绝中国体育彩票开奖 192.0.2.16 0.0.0.15任何日志输入
!访问列表2010拒绝中国体育彩票开奖 192.0.2.32 0.0.0.31任何日志输入
!
! gon
! Cymru团队已从此模板中删除了所有静态Bogon引用
!由于这些Bogon滤镜的应用可能性很高
!将是一次性活动。不幸的是,其中许多模板是
!尽管我们警告说硼确实会
!更改。
!
!这并不意味着无法自动完成Bogon过滤
!方式。为什么不考虑与我们遍布全球的Bogon进行对等
!路由服务器项目?或者,您可以获得当前的
!通过我们的DNS和RADb服务维护了Bogon提要。阅读更多
!以下链接以了解操作方法!
!
! //www.team-cymru.org/Services/Bogons/
!
!删除所有ICMP片段
访问列表2010拒绝icmp任何碎片日志输入
!允许IP访问Intranet(防火墙过滤器特定的端口)
访问列表2010许可中国体育彩票开奖 any 192.0.2.32 0.0.0.31
!允许多播进入。另请参阅访问列表30
!特定的多播规则。
访问列表2010许可中国体育彩票开奖任意224.0.0.0 15.255.255.255
!我们的显式(读取:已记录)删除所有规则
访问列表2010拒绝中国体育彩票开奖任何日志输入
!
!不要共享CDP信息,其中包含有关我们的关键信息
!配置等。此命令全局禁用CDP。如果你
!在接口上需要CDP,使用cdp run并禁用cdp
! (不启用cdp)在面向Internet的界面上。
没有CDP运行
! SNMP非常重要,特别是对于MRTG。
!将COMMUNITY字符串视为密码–很难猜测。
!对于SNMP版本1-2
SNMP服务器社区<COMMUNITY> RO 20
!
!给自己介绍一个适当的严厉横幅。
标语%
访问此设备或附件
未经明确的书面许可,禁止使用网络。
违反者将受到最大程度的民事起诉
和刑法。
%
!
线骗子0
exec-timeout 5 0
transport input none
登录身份验证CONAUTH
辅助线0
exec-timeout 5 0
行vty 0 3
access-class 100 in
exec-timeout 5 0
!启用SSH连接。
!显然,您必须拥有一个支持SSH的IOS映像,并且不要
!忘记使用加密密钥生成rsa来生成密钥。
!要启用对设备的SSH访问,您还需要一个域
!在生成RSA密钥之前,通过“ 中国体育彩票开奖 domian name x”设置名称
中国体育彩票开奖域名Test.com
!禁用SSHv1
中国体育彩票开奖 ssh version 2
transport input ssh
vty 4行
access-class 105 in
exec-timeout 5 0
登录认证VTYAUTH
transport input ssh
!
!配置结束。
结束
友善,彻底和有用
谢谢!