cisco路由器—FTP和TFTP

　　路由器可以用作FTP服务器和TFTP服务器，可以将映像从一台路由器复制到另一台。不要使用这个功能，因为FTP和TFTP都是不安全的协议。

　　默认地，FTP服务器在路由器上是关闭的，然而，为了安全起见，仍然在路由器上执行以下命令：Router（config）#noftp-serverwrite-enable（12.3版本开始）Router（config）#noftp-serverenable可以通过使用一个FTP客户端从PC进行测试，尝试建立到路由器的连接。

　　cisco路由器—HTTP

　　测试方法可以使用一个Web浏览器尝试访问路由器。还可以从路由器的命令提示符下，使用下面的命令来进行测试：

　　ftp 192.168.1.254Cisco安全设备管理器（SecurityDeviceManager，SDM）用HTTP访问路由器，如果要用SDM来管理路由器，就不能关闭HTTP服务。

　　如果选择用HTTP做管理，应该用iphttpaccess-class命令来对IP地址的访问。此外，也应该用iphttpauthentication命令来配置认证。对于交互式登录，HTTP认证最好的选择是使用一个TACACS+或RADIUS服务器，这可以避免将enable口令用作HTTP口令。

　　SNMP可以用来远程和管理Cisco设备。然而，SNMP存在很多安全问题，特别是SNMPv1和v2中。要关闭SNMP服务，需要完成以下三件事：

　　1.从路由器配置中删除默认的团体字符串；

　　2.关闭SNMP陷阱和系统关机特征；

　　3.关闭SNMP服务。

　　要查看是否配置了SNMP命令，执行showrunning-config命令。

　　下面显示了用来完全关闭SNMP的配置：

　　前两个命令删除了只读和读写团体字符串（团体字符串可能不一样）。接下来三个命令关闭SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上关闭SNMP服务。关闭SNMP服务之后，使用showsnmp命令验证。

　　缺省情况下，Cisco路由器DNS服务会向255.255.255.255地址发送名字查询。应该避免使用这个地址，因为者可能会借机伪装成一个DNS服务器。

　　如果路由器使用DNS来解析名称，会在配置中看到类似的命令：

　　可以使用showhosts命令来查看已经解析的名称。因为DNS没有固有的安全机制，易受到会话，在目的DNS服务器响应之前，黑客先发送一个伪造的回复。如果路由器得到两个回复，通常忽略第二个回复。

　　解决这个问题，要么确保路由器有一个到DNS服务器的安全路径，要么不要使用DNS，而使用手动解析。使用手动解析，可以关闭DNS，然后使用iphost命令静态定义主机名。如果想路由器产生DNS查询，要么配置一个具体的DNS服务器（ipname-server），要么将这些查询作为本地（当DNS服务器没有被配置时），使用下面的配置：