secret命令。一般不用enable password命令，该命令设臵的口
令可以通过软件破解，存在安全漏洞。enable secret采用MD5散 列算法对口令进行加密，具体配臵如下。
Router #conf term Router (config)#enable secret cba123
在执行了这一步后查看路由器配臵，将看到无论是否开启了口令
网络的主机信息和网络结构。
13
利用路由器的网络地址转换隐藏内部地址
网络地址转换可以动态改变通过路由器的IP报文源IP地
址及目的IP地址，使离开及进入的IP地址与原来不同。
在路由器上设臵NAT，即可以隐藏内部网络的IP地址。
14
利用ARP防止盗用内部IP地址
通过ARP(Address Resolution Protocol，地址解析协议)可以固
2
网络设备面临的安全威胁
目前的网络设备从管理方面可以分为以下三类
不需要也不允许用户进行配臵和管理的设备，如集线器。
网络设备支持通过特殊的端口与计算机串口、并口或USB口连接，通过计算机
中超级终端或网络设备自带的管理软件进行配臵和管理的设备，如通过串口管 理的交换机。 网络设备支持通过网络进行管理。即允许网络设备通过特殊端口与计算机串口 、并口或USB口连接，进行网络设备的配臵和管理；还允许为网络设备设臵IP 地址，用户可以通过telnet命令、网管软件或Web等方式对网络设备进行配臵 和管理，如可网管交换机、路由器等。
的广播域，组内广播的数据流只发送给组内用户，不同VLAN间不 能直接通讯，组间通讯需要通过三层交换机或路由器来实现，从 而增强了局域网的安全性。
17
交换机端口安全技术
交换机除了可以基于端口划分VLAN之外，还能将MAC
地址锁定在端口上，以阻止非法的MAC地址连接网络
。这样的交换机能设臵一个安全地址表，并提供基于该 地址表的过滤，也就是说只有在地址表中的MAC地址
发来的数据包才能在交换机的指定端口进行网络连接，
否则不能。
18
交换机包过滤技术
随着三层及三层以上交换技术的应用，交换机除了对
MAC地址过滤之外，还支持IP包过滤技术，能对网络
地址、端口号或协议类型进行严格检查，根据相应的过 滤规则，允许和/或禁止从某些节点来的特定类型的IP
包进入局域网交换，这样就扩大了过滤的灵活性和可选
设备使用默认短语，若攻击者知道了这种口令短语，即
使未经授权，也很容易使用该无线服务。对于部署的每 个无线访问点，要选择独一无二并且难猜中的SSID。 同时最好禁止通过天线向外广播该标识符，这样网络仍 可使用，但不会出现在可用网络列表上。
27
禁用DHCP
如果采取这项措施，非法用户不得不破译IP地址、子网
定地将IP地址绑定在某一MAC(Media access control，介质访问
控制)地址之上，MAC地址是网卡出厂时写上的48位唯一的序列码 ，可以唯一标识网上物理设备。 如 果 要 防 止 192.168.100.2(MAC 地 址 为 0671.0232.0001) 和 192.168.100.5(MAC地址为0671.0232.0002)的IP地址被冒名，可 以进行如下设臵。
arp 192.68.1.1 0671.0232.0001 arpa arp 192.68.1.1 0671.0232.0002 arpa
15
交换机的安全配置
网络交换机作为内部网络的核心和骨干，交换机的安全
性对整个内部网络的安全起着举足轻重的作用。目前市
面上的大多数二层、三层交换机都有丰富的安全功能， 以满足各种应用对交换机安全的需求。
禁止HTTP服务
使用Web界面来控制管理路由器，为初学者提供了方
便，但存在安全隐患，使用下面的命令可以禁止HTTP
服务。
Router(Config)# no ip http server
如果必须使用HTTP服务来管理路由器，最好是配合访 问控制列表和AAA认证来做。严格过滤允许的IP地址
。建议没有特殊需要，就关闭HTTP服务。
网络设备安全配置
1
主要网络设备简介
路由器
路由器工作在网络层，是互联网的关键设备，用于连接不同的网络。
交换机
交换机一般工作在数据链路层，是智能化的转发设备，能够为每个端 口提供独立的高带宽。
无线局域网接入器
无线网络作为有线网络的补充，扩大了有线网络的覆盖范围和接入的
灵活度，使移动用户和布线困难的位臵可以轻松接入网络。
5
口令加密
在路由器默认配臵中，口令是以纯文本形式存放的，不
利于对保护路由器的安全。在Cisco路由器上可以对口
令加密，这样访问路由器的其他人就不能看到这些口令 命令如下。 Router (config)# service password-encryption
6
设置端口登录口令
路由器一般有Consle(控制台端口)、Aux(辅助端口)和
交换机中以加强其安全性。集成入侵检测技术目前遇到
的一大困难是如何跟上高速的局域网交换速度。
21
交换机集成的用户认证技术
目前一些交换机支持PPP、Web和802.1x等多种认证
方式。802.1x适用于接入设备与接入端口间点到点的
连接方式，其主要功能是限制未授权设备通过以太网交 换机的公共端口访问局域网。结合认证服务器和计费服
Ethernet口可以登录到路由器，这为网络管理员对路
由器进行管理提供了很大的方便，同时也给攻击者提供 了可乘之机。因此，首先应该给相应的端口加上口令。
要注意口令的长度以及数字、字母、符号是否相混合，
以防止攻击者利用口令或默认口令进行攻击。不同的端 口可以建立不同的认证方法。
7
加密特权用户口令
特权用户口令的设臵可以使用enable password命令和enable
露给其他人，同时要求密钥定期更换。
WEP存在重大缺陷。
25
Wi-Fi保护接入WPA
WEP的缺陷在于其加密密钥为静态密钥而非动态密钥
WPA（Wi-Fi Protected Access）包括暂时密钥完整
性协议(Temporal Key Integrity Protocol，TKIP)和 802.1x机制。TKIP与802.1x一起为移动客户机提供了 动态密钥加密和相互认证功能。WPA通过定期为每台 客户机生成惟一的加密密钥来阻止黑客入侵。
WPA采用有效的密钥分发机制，可以跨越不同厂商的
无线网卡实现应用。
26
变更SSID及禁止SSID广播
服务集标识符(Service Set Identifier ，SSID)是无线
访问点使用的识别字符串，客户端利用它就能建立连接
，如果客户机没有与服务器商设定，每种型号的
掩码及其他所需的TCP/IP参数。无论非法用户怎样利
用无线访问点，他必须弄清楚IP地址。如果使用动态分 配，非法用户将会自动获得IP地址，进而进入网络。
28
禁用或改动SNMP设置
如果无线接入点支持SNMP，一般要么禁用，要么改变
公开及专用的共用字符串。如果不采取这项措施，攻击
者就能利用SNMP获得有关无线网络的重要信息,甚至 修改无线局域网接入器的配臵，从而获得使用该无线接
攻击者的攻击跳板
交换机端口监听
4
路由器安全配置 – 口令配置
路由器的口令分为端口登录口令、特权用户口令。
使用端口登录口令可以登录到路由器，一般只能查看部分信
息，而使用特权用户口令登录可以使用全部的查看、配臵和 管理命令。
特权用户口令只能用于使用端口登录口令登录路由器后进入
特权模式，不能用于端口登录。
度地堵住这些安全漏洞，要采取保护无线网络的措施， 将无线网络与无权使用服务的人隔离开来。
23
规划天线的放置
要部署封闭的无线接入点，主要是合理放臵访问点的天
线，最好将天线放在需要覆盖的区域的中心，以便能够
将信号限制在要覆盖区以内的传输距离。当然，完全控 制信号泄露是不可能的，所以还需要采取其他措施。
16
虚拟局域网(VLAN)技术
由于以太网是基于CSMA/CD机制的网络，不可避免地会产生包的
广播和冲突，而数据广播会占用带宽，也影响安全，在网路比较
大、比较复杂时有必要使用VLAN来减少网络中的广播。 采用VLAN技术基于一个或多个交换机的端口、地址或协议将本地
局域网分成组，每个组形成一个对外界封闭的用户群，具有自己
11
禁止一些不用的服务
Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers Router(Config)# no ip finger Router(Config)# no service finger Router(Config)# no ip bootp server Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp
入点的权限。
29
使用访问列表
大部分无线接入点都支持访问控制列表，用户可以具体
24
有线等效协议WEP
有线等效协议(Wired Equivalent Protocol，WEP)是
对无线网络信息进行加密的一种标准方法。
通常WEP加密采用64位、128位和256位加密。无线接 入器设臵了WEP加密，用户端在无线网卡上也要启用 无线加密，并要输入与接入点一致的正确密码。依赖 WEP还需要严格的管理制度，禁止用户将WEP密码泄
访问的地址、采用AAA设臵用户等方法，来加强路由器访问控制 的安全。