因为公司做安全审计,之前跑内网,没暴露,现在爆出一堆问题,其他都还好,之前的工作都经常做,主要是路由器这块,毕业后基本就很少碰(而且学的是思科),备注下.
问题:
基本没什么难度,主要在两个问题上卡了很久,最后找了公司这块的专家来帮忙才完成的,问题是白名单和https登陆方式
白名单:
原理,先创建允许访问的ACL再把ACL套进对应登陆方式.
直接上命令:
https白名单
sys
acl 2999 #这个数字可以自己随意编辑
rule 5 permit source 172.X.X.1 0
rule 10 permit source 172.X.X.21 0
rule 15 permit source 172.X.X.23 0
rule 20 permit source 172.X.X.110 0
rule 25 deny
#注意rule 后的编号不能一样,最好按顺序来,最后一个加上拒绝
http acl 2999
http timeout 30
http secure-server ssl-policy default_policy
#如果这里报错策略不存在,注意dis cur 检查下有没有
#ssl policy default_policy type server
#pki-realm default
#没有就加上,再输入这条命令,在sys下补命令
http secure-server enable
上面是在https上加白名单,同时这样操作后就支持https访问路由器
.
ssh白名单(对应的服务是stelnet)
stelnet server enable
user-interface vty 0 4
acl 2999 inbound
protocol inbound ssh
authentication-mode aaa#专家说不用配,下次测试下
user privilege level 15#专家说不用配,下次测试下
再附上路由器账号的登陆方式
local-user XXX service-type terminal ssh http #xxx是登陆路由器用户名
以上配置是路由器https及ssh登陆绑定白名单的相关命令