Setting Login Enhancement：Layer 3 路由器裝置之安全性設定與操作

接下來的內容，著重在使用者利用遠端連線登入系統時，由於安全性的考量而增設一些登入限制，藉此減緩字典攻擊的速度以及DoS攻擊。採取的方法有：

• Delay between successive login attempts
• Login shutdown if DoS attacks are suspected
• Generation of system logging messages for login detection

• Setting a Login Failure Blocking Period
  設定若使用者在短時間中連續登入失敗超過允許的次數，路由器會進入quiet mode，此時路由器會根據設定值拒絕所有嘗試登入的連線一段時間，只有使用login quiet-mode access-class所指定的ACL當中的IP位址可以連線。
  

Router(config)# login block-for 100 attempts 3 within 50

#若在50秒內同一IP位址發生3次登入失敗的動作，則在100秒內拒絕所有的連線，只有在例外清單當中的IP位址可以連線。
#如果只使用login block-for而不接後面參數的話，則預設的拒絕連線時間為1秒。

@相關指令

router(config)#login quiet-mode access-class acl-name

Router(config)# login delay 30

Router(config)# login on-failure log

Router(config)# login on-failure log every 5

Router(config)#line console 0

Router(config-time)#exec-timeout 2 30 

@參考網站

Cisco IOS Login Enhancements-Login Block
http://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_cfg/configuration/15-1mt/sec-login-enhance.html