就是最好使用访问列表限定可以使用Snmp管理的范围。
2. Http:
最近的路由器操作系统支持Http协议进行远端配置和监视。而针对Http的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护。这使得用Http进行管理相当危险。
如果选择使用Http进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证。最好的http认证选择是利用TACACS+或RADIUS服务器。
四. 日志
利用路由器的日志功能对于安全来说是十分重要的。Cisco路由器支持如下的日志
1. AAA日志:主要收集关于用户拨入连结、登录、Http访问、权限变化等。这些日志用TACACS+或RADIUS协议送到认证服务器并本地保存下来。这些可以用aaa accouting实现。
2. Snmp trap 日志:发送系统状态的改变到Snmp 管理工作站。
3. 系统日志:根据配置记录大量的系统事件。并可以将这些日志发送到下列地方:
a. 控制台端口
b. Syslog 服务器
c. TTYs或VTYs
d.页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第6页、共9页 |
