思科路由设备安全配置建议(手册）

下一页 1 2 3 4 5 6 7 

　　 
　　1  内置服务设置
IOS中的许多服务对于ISP来说，都不是必须具备的东西。出于安全的考虑，应该将这类服务关闭，只在有需要时才开放。参见下面配置：
no service finger
no service pad
no service udp-small-server

no service tcp-small-server
no ip bootp server
no ip http server （或者使用 ip http server；ip http port xxx修改WEB访问端口）
另外，某些服务对ISP的网络有很大的帮助，应该要打开：
service nagle
service tcp-keepalives-in
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
------------------------------------------------------------------------------------------------------------
注1：部分服务在最新的IOS中已经关闭，敲入上述命令后，如果看不到的话，就表示默认是关闭的。
注2：Nagle服务有助于提高te.net到某一设备，或者从某一设备上telnet到其他设备时的性能。标准TCP协议中，对telnet的处理，是将所键入的字符逐字发送，这在网络拥塞时，会加剧网络的负担。而Nagle算法则对此进行了改进，一旦建立连接后，键入的第一个字符仍按一个封包发出，但其后的字符会先送到缓冲中，直到前一个连接的acknowledge包返回后，再发出。这样可以大大提高网络效率。
注3：时间戳在缺省配置中，是采用设备的up时间来记录的。因此在show log时，有可能会看到类似于 26W3day：……的东西，这样不利于判断告警发生的时间。建议按上文配置，修改为按系统本地时间来记录，以便快速知晓LOG中的告警产生的具体时间。
-------------------------------------------------------------------------------------------------------------

原文转自：http://www.ltesting.net