二,路由器网络服务安全配置

　　1,禁止CDP(Cisco Discovery Protocol)。如：

　　Router(Config)#no cdp run

　　Router(Config-if)# no cdp enable

　　2,禁止其他的TCP、UDP Small服务。

　　Router(Config)# no service tcp-small-servers

　　Router(Config)# no service udp-samll-servers

　　3,禁止Finger服务。

　　Router(Config)# no ip finger

　　Router(Config)# no service finger

　　4,建议禁止HTTP服务。

　　Router(Config)# no ip http server

　　如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制。如：

　　Router(Config)# username BluShin privilege 10 G00dPa55w0rd

　　Router(Config)# ip http auth local

　　Router(Config)# no access-list 10

　　Router(Config)# access-list 10 permit 192.168.0.1

　　Router(Config)# access-list 10 deny any

　　Router(Config)# ip http access-class 10

　　Router(Config)# ip http server

　　Router(Config)# exit

　　5,禁止BOOTp服务。

　　Router(Config)# no ip bootp server

　　禁止从网络启动和自动从网络下载初始配置文件。

　　Router(Config)# no boot network

　　Router(Config)# no servic config

　　6,禁止IP Source Routing。

　　Router(Config)# no ip source-route

　　7,建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。

　　Router(Config)# no ip proxy-arp

　　Router(Config-if)# no ip proxy-arp

　　8,明确的禁止IP Directed Broadcast。

　　Router(Config)# no ip directed-broadcast

　　9,禁止IP Classless。

　　Router(Config)# no ip classless

　　10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。

　　Router(Config-if)# no ip unreacheables

　　Router(Config-if)# no ip redirects

　　Router(Config-if)# no ip mask-reply

　　11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如：

　　Router(Config)# no snmp-server community

　　编辑特别推荐:

　　Cisco路由器Show命令全解释

　　讲解CiscoCatalyst交换机如何防御蠕虫困扰