IOS比我們相像中的要“堅(jiān)強(qiáng)”

思科IOS自帶了很多功能，用以加強(qiáng)自身的安全性，但很多時候我們都忽略了，沒有正確使用。IOS比我們想象中的堅(jiān)強(qiáng)，合理使用這些安全特性，可以增強(qiáng)網(wǎng)絡(luò)的安全。

1、限制設(shè)備的密碼長度，一般在默認(rèn)情況下，我們都沒有設(shè)置。具體設(shè)置如下：
WYLZ-R1(config)#security passwords min-length 7
在這里設(shè)備密碼的最小長度是7，然后配置一個5位長度的密碼時，如下所示：
WYLZ-R1(config)#enable secret cisco
% Invalid Password length - must contain 7 to 25 characters. Password configuration failed
此時提示，無效的密碼長度，密碼長度在7到25個字符之間。

2、密碼加密策略，默認(rèn)情況下telnet密碼和enable password都是明文顯示的，通過show run就完全可以看到，使用密碼策略可以將密碼加密以密文的形式顯示。具體設(shè)置如下：
WYLZ-R1(config)#do sh run | b line
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
line vty 0 4
 password cisco123      //以明文顯示了telnet密碼
 login
 length 0
 transport input none
啟用密碼加密策略
WYLZ-R1(config)#service password-encryption
WYLZ-R1(config)#do sh run | b line
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
line vty 0 4
 password 7 02050D4808095E731F       //密碼已經(jīng)以密文的形式顯示了。
 login
 length 0
 transport input none
當(dāng)然了，這種形式加密的密碼是可以破解的，所以建議telnet密碼和特權(quán)密碼不要相同。

3、為不同的用戶分配不同的權(quán)限，很多時候我們只設(shè)置一個telnet密碼和一個特權(quán)密碼，那么任何人登錄都具有完全控制權(quán)限。
WYLZ-R1(config)#privilege exec level 2 show interface e0/0
WYLZ-R1(config)#privilege exec level 2 show ip int bri
WYLZ-R1(config)#privilege exec level 2 show cdp nei
WYLZ-R1(config)#privilege exec level 2 ping
WYLZ-R1(config)#privilege exec level 2 traceroute
上面是設(shè)置用戶登錄后可以執(zhí)行的命令
WYLZ-R1(config)#username user01 privilege 2 password cisco123
將用戶與權(quán)限級別進(jìn)行關(guān)聯(lián)。
測試后如下所示：
WYLZ-R2#telnet 172.16.12.1
Trying 172.16.12.1 ... Open

User Access Verification

Username: user01
Password:
WYLZ-R1#sh run        //不可以執(zhí)行show run命令，沒有權(quán)限。
            ^
% Invalid input detected at '^' marker.

WYLZ-R1#conf t         //不可以執(zhí)行conf t命令，同樣沒有權(quán)限。
           ^
% Invalid input detected at '^' marker.

WYLZ-R1#sh ip int bri
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                172.16.12.1     YES manual up                    up     
Ethernet0/1                unassigned      YES NVRAM  administratively down down   
Ethernet0/2                unassigned      YES NVRAM  administratively down down   
Ethernet0/3                unassigned      YES NVRAM  administratively down down   
Ethernet1/0                unassigned      YES NVRAM  administratively down down   
Ethernet1/1                unassigned      YES NVRAM  administratively down down   
Ethernet1/2                unassigned      YES NVRAM  administratively down down   
Ethernet1/3                unassigned      YES NVRAM  administratively down down   
Serial2/0                  unassigned      YES NVRAM  administratively down down   
Serial2/1                  unassigned      YES NVRAM  administratively down down   
Serial2/2                  unassigned      YES NVRAM  administratively down down   
精確細(xì)致地為不同用戶賦予不同的權(quán)限，可以有效地保護(hù)網(wǎng)絡(luò)的安全。

為太原等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù)，及太原網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站、太原網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

分享標(biāo)題：IOS比我們相像中的要“堅(jiān)強(qiáng)”
文章出自：http://www.muchs.cn/article44/ijcjee.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、移動網(wǎng)站建設(shè)、服務(wù)器托管、網(wǎng)站內(nèi)鏈、網(wǎng)站收錄、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)