注释

　　第一行允许通过TCP协议访问主机10.1.1.2,如果没个连接已经在主机10.1.1.2和某个要访问的远程主机之间建立,则该行不会允许任何数据包通过路由器接口,除非回话是从内部企业网内部发起的.第二行允许任何连接到主机172.30.1.3来请求www服务,而所有其他类型的连接将被拒绝,这是因为在访问列表自动默认的在列表尾部,有一个deny any any语句来限制其他类型连接.第三行是拒绝任何FTP连接来访问172.30.1.4主机.第四行是允许所有类型的访问连接到172.30.1.4主机.

　　2.保护路由器的密码

　　1)禁用enable password命令,改密码加密机制已经很古老,存在极大安全漏洞,必须禁用,做法是:no enable password

　　2)利用enable secret命令设置密码,该加密机制是IOS采用了MD5散列算法进行加密,具体语法是:enable secret[level level] {password|encryption-type encrypted-password}

　　举例

　　Ro(config-if)#enable secret level 9 ~@~!79#^&^089^ */设置一个级别为9级的~@~!79#^&^089^密码

　　Ro(config-if)#service router-encryption */启动服务密码加密过程

　　enable secret命令允许管理员通过数字0-15,来指定密码加密级别.其默认级别为15.

　　3.控制telnet访问控制

　　为了保护路由器访问控制权限,必须限制登陆访问路由器的主机,针对VTY(telnet)端口访问控制的方法,具体配置要先建立一个访问控制列表,如下示例,建立一个标准的访问控制列表(编号从1--99任意选择):

　　access-list 90 permit 172.30.1.45

　　access-list 90 permit 10.1.1.53

　　该访问列表仅允许以上两个IP地址之一的主机对路由器进行telnet访问,注意:创建该列表后必须指定到路由器端口某个端口上,具体指定方法如下:

　　line vty E0 4

　　access-class 90 in

　　以上配置是入站到E0端口的telnet示例,出站配置采用out,在这里将不再详细赘述.为了保护路由器的安全设置,也可以限制其telnet访问的权限,比如:通过分配管理密码来限制一个管理员只能有使用show命令的配置如下:

　　enable secret level 6 123456

　　privilege exec 6 show

　　给其分配密码为123456,telnet进入路由器后,只能用show命令,其他任何设置权限全部被限制.另外,也可以通过访问时间来限制所有端口的登陆访问情况,在超时的情况下,将自动断开,下面是一个配置所有端口访问活动3分30秒的设置示例:

　　exec-timeout 3 30