三、配置訪問控製列表

使用訪問控製列表的目的是為了保護路由器的安全和優化網絡的流量。訪問列表的作用就是當數據包經過路由器某一個端口時，該數據包在轉發通過時，必須先在訪問控製列表裏邊查找，如果允許，則通過。

訪問列表分為標準訪問列表和擴展訪問列表。標準的訪問列表隻允許過濾源地址，且功能十分有限；擴展的訪問列表允許過濾源地址、目的地址和上層應用數據。擴展的IP訪問列表，顧名思義，擴展的IP訪問列表用於擴展過濾能力。一個擴展的IP訪問列表允許用戶根據如下內容過濾：

（1）創建標準訪問列表

access-listlistnumber1{permit|deny}source-addr[source-mask]

（2）創建擴展訪問列表

access-listlistnumber2{permit|deny}protocolsource-addrsource-mask[operatorport1[ort2]]dest-addrdest-mask[operatorport1[port2]][[log]

access-listlistnumber是定義訪問列表編號的一個值範圍從1到99。參數deny或permit指定了允許還是拒絕數據包。source是發送數據包的主機地址。source-wildcard則是發送數據包的主機的通配符。在實際應用中，如果數據包的源地址在訪問列表中未能找到，或者找到了未被允許轉發，則該數據包將會被拒絕。protocol為協議類型，支持ICMP、TCP、UDP等，其它的協議也支持。operator指端口操作符。

配置了訪問列表後，就要啟用訪問控製列表，我們必須在接口配置模式下使用access-group或ipaccess-class命令來指定訪問列表應用於某個接口。使用關鍵字in(out)來定義該接口是出站數據包還是入站數據包。

四、配置最小化IOS

對於路由器來說，服務器的設備越少越安全，因此配置最小化IOS，禁止不必要的功能和服務，可獲得最大化的安全。

CDP(CiscoDiscoveryProtocol)CISCO查找協議，該協議存在於CISCO11.0以後的版本中，都是默認啟動的。在OSI二層（鏈路層）協議的基礎上可發現對端路由器的設備平台、操作係統版本、端口、IP地址等重要信息。可禁止其運行，加強安全性，命令如下：nocdprun。

管理員也可以指定禁止某端口的CDP，比如為了讓路由器內部網絡使用CDP，而禁止路由器對外網的CDP應答，可以輸入相應外網接口命令nocdpenable。

當然，以上措施保護路由器並不完全，在很多實際應用中，還需要很多輔助配置。為了保護路由器，可采用多種安全產品，比如給路由器添加硬件防火牆、配置AAA服務認證、設置IDS入侵檢測等，再加上網管高度的責任心，一定可築起網絡安全的長城!