思科作為路由行業中的領軍人物，其產品在市場中的需求量很高，這里就針對Cisco 路由器，講解如何對路由器進行有效的安全加固。根據木桶理論，一個桶能裝多少水，取決于這個桶最短的那塊木板。具體到信息系統的安全也是一樣，整個信息系統的安全程度也取決于信息系統中最薄弱的環節，網絡做為信息系統的體，其安全需求的重要性是顯而易見的。 

網絡層面的安全主要有兩個方面，一是數據層面的安全，使用ACL等技術手段，輔助應用系統增強系統的整體安全；二是控制層面的安全，通過限制對網絡設備自身的訪問，增強網絡設備自身的安全性。

一、 控制層面主要安全威協與應對原則 

網絡設備的控制層面的實質還是運行的一個操作系統，既然是一個操作系統，那么，其它操作系統可能遇到的安全威脅網絡設備都有可能遇到；總結起來有如下幾個方面： 

1、 系統自身的缺陷：操作系統作為一個復雜系統，不論在發布之前多么仔細的進行測試，總會有缺陷產生的。出現缺陷后的唯一辦法就是盡快給系統要上補丁。Cisco IOS/Catos與其它通用操作系統的區別在于，IOS/Catos需要將整個系統更換為打過補丁的系統。
 
2、 系統缺省服務：與大多數能用操作系統一樣，IOS與CatOS缺省情況下也開了一大堆服務，這些服務可能會引起潛在的安全風險，解決的辦法是按最小特權原則，關閉這些不需要的服務。 

3、 弱密碼與明文密碼：在IOS中，特權密碼的加密方式強加密有弱加密兩種，而普通存取密碼在缺省情況下則是明文；
 
4、 非授權用戶可以管理設備：既可以通過telnet\snmp通過網絡對設備進行帶內管理，還可以通過console與aux口對設備進行帶外管理。缺省情況下帶外管理是沒有密碼限制的。隱含較大的安全風險； 

5、 CDP協議造成設備信息的泄漏； 

6、 DDOS攻擊導致設備不能正常運行，解決方案，使用控制面策略，限制到控制層面的流量； 

7、 發生安全風險之后，缺省審計功能。
 
二、 Cisco 路由器IOS加固 

對于12.3(4)T之后的IOS版本，可以通過autosecure命令完成下述大多數功能，考慮到大部分用戶還沒有條件升級到該IOS版本，這里仍然列出需要使用到的命令行：

1、Cisco 路由器如何禁用不需要的服務： 
no ip http server　　
no ip source-route　　 //禁用IP源路由，防止路由欺騙 
no service finger //禁用finger服務　 
no ip bootp server　　　//禁用bootp服務 
no service udp-small-s //小的udp服務 
no service tcp-small-s //禁用小的tcp服務 

2、Cisco 路由器如何關閉CDP：
no cdp run //禁用cdp 

3、Cisco 路由器配置強加密與啟用密碼加密： 
service password-encryption　
enable secret asdfajkls　　　//配置強加密的特權密碼 
no enable password　　　　　 //禁用弱加密的特權密碼 

4、Cisco 路由器配置log server、時間服務及與用于帶內管理的ACL等，便于進行安全審計：
service timestamp log datetime localtime  
logging 192.168.0.1 //向192.168.0.1發送log 
logging 192.168.0.2 //向192.168.0.2發送log 
access-list 98的主機進行通訊 
no access-list 99 //在配置一個新的acl前先清空該ACL 
access-list 99 permit 192.168.0.0 0.0.0.255 
access-list 99 deny any log
no access-list 98
access-list 98 permit host 192.168.0.1 
access-list 98 deny any log
clock timezone PST-8 //設置時區 
ntp authenticate　　　　　　 //啟用NTP認證 
ntp authentication-key 1 md5 uadsf
ntp trusted-key 1　　　　　　　　　　//可以信任的Key. 
ntp acess-group peer 98 //設置ntp服務，只允許對端為符合access-list 98條件的主機 
ntp server 192.168.0.1 key 1　　　　
 
5、對帶內管理行為進行限制： 
snmp-server community HSDxdf ro 98
line vty 0 4 
access-class 99 in
login 
password 0 asdfaksdlf　　　　//配置telnet密碼 
exec-timeout 2 0　　　　　　 //配置虛終端超時參數，這里是2分鐘 
 
6、對帶外管理行為進行限制： 
line con 0 
login 
password 0 adsfoii //配置console口的密碼 
exec-timeout 2 0　　　　　　 //配置console口超時參數，這里是兩分鐘 
line aux 0 
transport input none 
password 0 asfdkalsfj　　　　 
no exec 
exit 

三、 Cisco 路由器CatOS加固 

1、 禁用不需要的服務： 
set cdp disable //禁用cdp 
set ip http disable 　　  

2、 配置時間及日志參數，便于進行安全審計： 
set logging timestamp enable //啟用log時間戳 
set logging server 192.168.0.1 //向192.168.0.1發送log 
set logging server 192.168.0.2 //向192.168.0.2發送log! 
set timezone PST-8 //設置時區 
set ntp authenticate enable　　　　　　 //啟用NTP認證 
set ntp key 1 md5 uadsf
set ntp server 192.168.0.1 key 1　
set ntp client enable //啟用ntp client 

3、 限制帶內管理： 
set snmp community HSDxdf //配置snmp只讀通訊字 
set ip permit enable snmp //啟用snmp訪問控制 
set ip permit 192.168.0.1 snmp　
set ip permit enable telnet
set ip permit 192.168.0.1 telnet　
set password //配置telnet密碼 
set enable 　 　 //配置特權密碼 
set logout 2