明教教主CCNA安全第二讲
cisco 自防御网络
自防御网络是cisco为了宣传自己的解决的产品、解决方案,而为自己打的广告
厂商提供成套的解决方案,允许客户网络穿越厂商布防安全线网络,以保障客户网络的安全。
cisco安全产品线
Router ASA 支持的ips、vpn等。。。
ciscoASA系列
5500系列
5500X
cisco 4300 系列 ips应用
cisco ACS (secure access control server)AAA认证授权审计
6500、7600的modules安全功能
CCP cisco configuration professional 前身叫SDM安全设备管理器,绝大部分功能都能在图形化界面配置实现
Cisco Security manager cisco的新款企业级安全产品系列
网络防火墙类似于上网行为管理
第五部分
IOS安全特性
状态化防火墙 路由器内置的防火墙模块和防火墙硬件其实差不多
IPS(基本不用)
VPN 相当强大
router ios登陆
通过网络 telnet http sshd https console口 aux(通过猫拨号 远程管理)
cisco对密码建议
至少10个字符
长短要求
security passwords mid-length 6 对密码至少6个字符限制
复杂性要求
密码不能在字典中找到
周期性更新密码
密码加密服务
passwd加密可逆 只能防身后偷窥,md5加密不可逆
5是hash不可逆路由器都不知道怎么解密 7是加密,防偷窥的 6靠谱的加密password encry aes 只有路由器知道怎么解密,vpn key加密
no service password-recovery 如果在破密码时不想丢失配置,则可以键入这条命令
username cisco passwd cisco 铭文密码
username cisco secret cisco 密文密码
username cisco privilege 15 passwd cisco设置等级
0----15 级别
键入enable 0 可以查看0级别用户可以执行的命令共5个
键入enable 1 可以查看1级别用户可以执行的命令共40+个命令
2---14没有命令,但是可以敲0级别和1级别的命令,实质和1级别是一样的 5级别可以修改命令的归属级别,可以把级别15的命令给拿出去或者1级别的命令拿出去
login local 登陆vty认证时用 路由器本地数据库用户 密码
ios 防止猜密码登陆方法
1、可创建延迟,防止尝试登陆
2、可挂起登陆用户尝试,比如尝试5次后,挂起登陆30分钟
3、创建登陆日志,成功或者失败
lgoin block-for 600 attempts 3 within 60 在60s 如果尝试登陆3次错误,任何账户在600s内都不能登陆,除了以下10.0.0.1
login delay 2 输错时 下次提示输入密码2s 默认1s
login quiet-mode access-class block.ssh.new 关联以上的禁用问题
login on-failure trap very 3
login on-success trap
ip access-list standard block.ssh.new
permit 10.0.0.1
1845
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
