在網上看到了一篇不錯的論文，其中很詳細的解析了關于Cisco 路由器的高深問題，比如系統日志管理、取消不必要的服務、集中日志整理的技術性能等等。

1.系統日志管理

多個用戶共享一個賬戶是無法區分他們之間的活動的。默認的情況下，Cisco 路由器設備有兩級的訪問模式：用戶模式和特權用戶模式。用戶可以認為特權用戶同UNIX中的root或WindowsNT中的系統管理員是類似的。一般情況下，用戶認證時不需要用戶名只需要口令。普通用戶登錄模式和特權用戶登錄模式都是如此。但是許多機構是很多人同時共享同一口令，這樣就有許多人共享路由器的口令。通過將RADIUS或者TACACS和AAA(認證、授權和審計)相結合，系統管理員可以將路由器基本結構信息存貯在NDS、AD或者其他中心口令庫中。通過這種認證方式可以強制用戶在登錄時輸入賬戶名和口令，這樣便于清除審計痕跡。

2.取消不必要的服務

首先，取消一些不重要的、很少被使用服務；取消finger服務，因為它會給黑客提供許多有用信息。取消finger服務后，還要確認沒有打開HTTP(Web)服務器。雖然系統的默認配置是這樣的，還必須經過用戶再確認一下。Cisco 路由器設備有Cisco專用協議，CDP(CiscoDiscoveryProtocol)。同finger一樣，CDP本身沒有什么威脅，但是它可以讓黑客獲得許多自己無法訪問的信息。

3.網絡管理注意事項

限制終端訪問和取消不必要的服務是保護系統安全的重要部分。但是只進行這些工作是遠遠不夠的，在管理方面還有很多有關系統程序上和管理上值得考慮的因素。

4.集中日志整理

安全專家認為大多數系統日志協議采用UDP的形式進行傳輸是不安全的。但是現在還沒有較好的改進方法。如果系統有一個系統日志登錄服務器，用戶可以采用命令將輸出集中到這個服務器。

5.口令存儲注意事項

許多用戶在FTP和TFTP服務器上保存路由配置文件和鏡像信息。盡管保留備份是個良好的習慣，但是要確保這些文件的安全。要保證這些服務器有可靠的訪問控制。接下來還可以采取兩種預防措施。首先，使用Cisco 路由器的“加密”口令規則來代替普通的“使能”口令規則。使用無法逆轉的MD5散列算法保存重要口令，采用一般加密算法保存一般口令。

6.時鐘同步

網絡時鐘協議(NTP)定義了網絡設備的時鐘與系統的時鐘同步規則。NTP是業界標準，NTP相當準確并且兼容性好——多種操作系統及各種路由器和交換設備都支持。

7.SNMP管理

許多組織經常使用SNMP，還有些組織現在希望將來使用。不論其應用前景如何，有兩點要注意：如果用戶不需要SNMP，最好取消；如果要使用SNMP，最好正確配置Cisco 路由器。但是，如果用戶一定要使用SNMP，可以對其進行保護。首先，SNMP有兩種模式：只讀模式(RO)和讀寫模式(RW)。如果可能，使用只讀模式，這樣可以最大限度的控制用戶的操作，即使在攻擊者發現了通信中的字符串時，也能限制其利用SNMP進行偵察的目的，還能阻止攻擊者利用其修改配置。如果必須使用讀寫模式，最好把只讀模式與讀寫模式使用的通信字符串區別開來。最后可以通過訪問控制列表來限制使用SNMP的用戶。