我正在尝试构建一个不错的基础配置,我只是有点好奇,IPS 和 SPI 等功能是否需要明确设置?这个网络不会与我们的用户集成,但我仍然希望阻止外部任何人的访问。如果有人可以讨论他们对基本安全配置的方法,我将不胜感激。
!
hostname xxxxxxx
!
!
!
enable password secret xxxxxxxx
!
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool LAN
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 8.8.8.8
!
!
!
username xxxxx privilege 15 password 0 xxxxxxxxxxx
!
!
!
!
!
ip ssh version 1
ip domain-name cisco.com
ip name-server 192.168.1.2
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
description ISP connection
ip address xxx.xxx.xxx.xxx 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1/0
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/1/1
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/1/2
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/1/3
switchport mode access
spanning-tree portfast
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
!
!
!
banner motd ^CThis router is private property and may not be accessed without permission of the owner^C
!
!
!
!
line con 0
exec-timeout 0 0
password xxxxxxxx
logging synchronous
login local
line vty 0 4
exec-timeout 0 0
password xxxxxxx
logging synchronous
login local
line vty 5 15
exec-timeout 0 0
password xxxxxxxxxxx
logging synchronous
login local
!
!
!
end
答案1
默认没有IPS、ACL等。
通过查看您的配置,如果配置了正确的路由,则来自 ISP 接口 f0/0 的每个人都可以到达 vlan 1。无论如何,由于您不执行任何 NAT,如果 f0/0 直接连接到 ISP,则来自 Vlan1 的流量将因私有 IP 寻址而被丢弃。
安全性无法在短短的专栏中解释清楚,您遗漏了太多东西(SSH v2,避免使用本机 VLAN 等),而且在安全性领域之外,您的名称服务器设置似乎不一致并且没有 NAT(如前所述)。
好的快速阅读是http://www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuration/guide/15_0s/sec_securing_user_services_15_0S_book/sec_autosecure.html,关于自动安全功能可能会自动地设置路由器。CBAC(SPI)和“ip ips”(IPS)是您需要深入研究的技术。