,由于SNMP是一个相当不安全的协议(尤其是低版本),还应该通过访问控制列表限定能访问设备SNMP的主机: 在snmp-server community xxxx RO/RW 后,可以加上一个标准或扩展的访问控制列表。console口可以配上密码,不要设置no exec-timeout。telnet访问的限制通过在line vty指定access-class实现;CatOS的交换机用ip permit-list; 高端设备可以用SSH取代telnet。不必要的服务,如tcp/udp-small-servers、ip finger、ip http server等应予以关闭。ip http server(Web管理界面)去年就曾爆出了一个严重的安全漏洞,可以用ip http access-class作限制。tftp-server服务用完就应关闭,也可以指定ACL,或用较为安全的FTP代替。路由协议可以加上认证,常用的RIP v2、EIGRP、OSPF以及BGP等都支持明文或md5认证。在端口上应用ACL,过滤不必要的通讯,还可以利用IOS的安全功能,防止IP欺骗和一些常见的攻击。
页码:[1] [2] [3] [4] [5] [6] 第3页、共6页 |
