Cisco路由器的安全配置简易方案

　　6,禁止IP Source Routing。

　　Router(Config)# no ip source-route

　　7,建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。

　Router(Config)# no ip proxy-arp
　Router(Config-if)# no ip proxy-arp

　　8,明确的禁止IP Directed Broadcast。

　　Router(Config)# no ip directed-broadcast

　　9,禁止IP Classless。

　　Router(Config)# no ip classless

　　10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。

　Router(Config-if)# no ip unreacheables
　Router(Config-if)# no ip redirects
　Router(Config-if)# no ip mask-reply

　　11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如：

　Router(Config)# no snmp-server community public Ro
　Router(Config)# no snmp-server community admin RW
　Router(Config)# no access-list 70
　Router(Config)# access-list 70 deny any
　Router(Config)# snmp-server community MoreHardPublic Ro 70
　Router(Config)# no snmp-server enable traps
　Router(Config)# no snmp-server system-shutdown
　Router(Config)# no snmp-server trap-anth
　Router(Config)# no snmp-server
　Router(Config)# end

　　12,如果没必要则禁止WINS和DNS服务。

　　Router(Config)# no ip domain-lookup

　　如果需要则需要配置：

　　Router(Config)# hostname Router

　　Router(Config)# ip name-server 202.102.134.96

　　13,明确禁止不使用的端口。