1 / 11 Cisco 路由器和交换机的安全配置模板 一、设备命名规范 为统一网络设备命名,方便今后网络项目实施和运维管理,拟对网络设备进行统一命名,详细命名规则如下: 设备名称组成部分 网络系统中具体一台设备的命名由如下五个部分组成: Hostname: AABBCCDDEE AA:表示各分行的地区名称简写,如:上海:SH BB:表示功能区域名称 CC:表示设备所在的网络层次 DD: 表示设备类型 EE: 表示设备的序列号,01表示第一台,02为第二台。 设备名称中的英文字母全部采用大写,各部分之间使用下划线连接。 每个字母具体范围如下: 各分行地区名称如下表示(AA): 序号 分行名称 标识 1 北京 BJ 2 上海 SH 3 … … 功能区域或地域名称规则表如下所示(BB): 序号 命名名称 区域描述 1 CORE 核心区(Core Zone) 2 ADM 安全管理区(Admin Zone) 3 SRV 服务器区(Server Zone) 5 HQ 总部(HQ Zone) 6 BR 分支(B Zone) 9 EXT 外联区(Ext_Conn Zone) 10 CLT 用户接入区(CLT Zone 12 TEST 测试区(TEST_Zone) 13 … … 2 / 11 网络设备所在层命名规则表如下所示(CC): 序号 命名名称 层次描述 1 COR 核心层 2 DIS 汇聚层 3 ACC 接入层 4 … … 网络设备类型命名规则表如下所示(DD): 序号 命名名称 设备描述 1 SW 交换机 2 RT 路由器 3 FW 防火墙 4 IDS/IPS 入侵检测 5 AP AP接入点 6 CONTR 无线控制器 网络设备序列号编号规则表如下所示(EE): 序号 命名名称 编号描述 1 01 同一区域同一应用系统第1台设备 2 02 同一区域同一应用系统第2台设备 3 / 11 二、路由器配置 一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制 CON端口的访问。具体的措施有: A,如果可以开机箱的,则可以切断与 CON口互联的物理线路。 B,可以改变默认的连接属性,例如修改波特率(默认是 96000,可以改为其他的)。 C,配合使用访问控制列表控制对 CON口的访问。 如:Router(Config)#Access-list 1 permit 192.168.0.1 Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login local Router(Config-line)#Exec-timeou...
