在实施设备时,务必遵循组织制定的所有安全指导原则。 这包括以易于记录和跟踪的方式命名设备,但同时维护一定形式的安全性。 在主机名中提供太多有关设备使用的信息是不明智的。 还可以采取许多其他基本安全措施。

其他密码安全性

强密码只有保持其机密性才是有用的。 可以采取几个步骤来帮助确保密码的机密性。 如图所示,使用全局配置命令 service password-encryption 来防止未经授权的个人在配置文件中查看明文形式的密码。 该命令会将所有未加密密码进行加密。

此外,为了确保配置的所有密码至少为指定的最小长度,请在全局配置模式下使用 security passwords min-length 命令。

黑客获取密码的另一种方式就是直接使用暴力攻击,尝试多个密码,直到试出正确密码。 当指定时间段内出现多次密码输入错误时阻止登录尝试,由此可以防止此类攻击。

Router(config)# login block-for 120 attempts 3 within 60

这个命令是在 60 秒内有 3 次登录尝试失败时阻止登录尝试 120 秒。

标语

标语消息类似于一个禁止非法侵入符号。 在向法院起诉某人不正当访问系统时,这些标语非常重要。 确保标语消息符合组织的安全策略。

Router(config)# banner motd #message#

EXEC 超时

另一个建议是设置执行超时。 通过设置 EXEC 超时,您将告知思科设备在用户闲置时间达到 EXEC 超时时间值时自动断开线路上的用户。 EXEC 超时可以在控制台、vty 和 aux 端口配置。

Router(config)# line vty 0 4

Router(config-vty)# exec-timeout 10

该命令将在 10 分钟后断开用户。