1及时修补程序与更新IOS
2阻止非要的数据流
例如,我们可以在路由器的接口是启用扩展ACL实现对外部ICMP报文的屏障
router(config)#access-list 101 deny icmp any 目标ip地址 反向掩码 echo
router(config)#access-list 101 permit any any
router (config)#ip access group 101 in
我们还可以禁止CDP(这是ciso专用的协议,用来发现临近设备的线管信息)
router(config)#no cdp run
router (config-if)# no cdp enable
3加强管理和访问控制
一应用强密码策略
router (config)# servic password-encryption
router(config)# enable secret password
二控制远程访问与控制台访问
router (config)# line vty 0 5
router (config-line)#password 密码
router(config-line)#login
router(config)#enable password 密码
三关闭基于web的配置
router(config)# no ip http server
四关闭其他不必要的服务
roueter(config)# no ip domain-lookup
router (config)# no ip bootp server
router (config)# no snmp-server
router(config)# no snmp-server commuinity public Ro
router(config)# no snmp-server community admin Rw
5定期审核和查看日志
交换机安全技术
1修补程序
2使用管理访问控制系统
3禁用未使用的端口
4关闭危险服务
5利用Vlan技术