cisco路由器—FTP和TFTP

路由器可以用作FTP服務(wù)器和TFTP服務(wù)器，可以將映像從一臺(tái)路由器復(fù)制到另一臺(tái)。建議不要使用這個(gè)功能，因?yàn)镕TP和TFTP都是不安全的協(xié)議。

默認(rèn)地，F(xiàn)TP服務(wù)器在路由器上是關(guān)閉的，然而，為了安全起見(jiàn)，仍然建議在路由器上執(zhí)行以下命令：Router（config）#no ftp-server write-enable （12.3版本開(kāi)始）Router（config）#no ftp-server enable可以通過(guò)使用一個(gè)FTP客戶(hù)端從PC進(jìn)行測(cè)試，嘗試建立到路由器的連接。

cisco路由器—HTTP

測(cè)試方法可以使用一個(gè)Web瀏覽器嘗試訪問(wèn)路由器。還可以從路由器的命令提示符下，使用下面的命令來(lái)進(jìn)行測(cè)試：

Router#telnet 192.168.1.254 80  
 
Router#telnet 192.168.1.254 443 

要關(guān)閉以上兩個(gè)服務(wù)以及驗(yàn)證，執(zhí)行以下的步驟：

Router（config）#no ip http server  
 
Router（config）#no ip http secure-server  
 
Router#telnet 192.168.1.254 80  
 
Router#telnet 192.168.1.254 443 

Cisco安全設(shè)備管理器（Security Device Manager,SDM）用HTTP訪問(wèn)路由器，如果要用SDM來(lái)管理路由器，就不能關(guān)閉HTTP服務(wù)。

如果選擇用HTTP做管理，應(yīng)該用ip http access-class命令來(lái)限制對(duì)IP地址的訪問(wèn)。此外，也應(yīng)該用ip http authentication命令來(lái)配置認(rèn)證。對(duì)于交互式登錄，HTTP認(rèn)證最好的選擇是使用一個(gè)TACACS+或RADIUS服務(wù)器，這可以避免將enable口令用作HTTP口令。

SNMP可以用來(lái)遠(yuǎn)程監(jiān)控和管理Cisco設(shè)備。然而，SNMP存在很多安全問(wèn)題，特別是SNMP v1和v2中。要關(guān)閉SNMP服務(wù)，需要完成以下三件事：

1.從路由器配置中刪除默認(rèn)的團(tuán)體字符串；

2.關(guān)閉SNMP陷阱和系統(tǒng)關(guān)機(jī)特征；

3.關(guān)閉SNMP服務(wù)。

要查看是否配置了SNMP命令，執(zhí)行show running-config命令。

下面顯示了用來(lái)完全關(guān)閉SNMP的配置：

Router（config）#no snmp-server community public RO
Router（config）#no snmp-server community private RW
Router（config）#no snmp-server enable traps
Router（config）#no snmp-server system-shutdown
Router（config）#no snmp-server trap-auth
Router（config）#no snmp-server 

前兩個(gè)命令刪除了只讀和讀寫(xiě)團(tuán)體字符串（團(tuán)體字符串可能不一樣）。接下來(lái)三個(gè)命令關(guān)閉SNMP陷阱、系統(tǒng)關(guān)機(jī)和通過(guò)SNMP的認(rèn)證陷阱。最后在路由器上關(guān)閉SNMP服務(wù)。關(guān)閉SNMP服務(wù)之后，使用show snmp命令驗(yàn)證。

缺省情況下，Cisco路由器DNS服務(wù)會(huì)向255.255.255.255廣播地址發(fā)送名字查詢(xún)。應(yīng)該避免使用這個(gè)廣播地址，因?yàn)楣粽呖赡軙?huì)借機(jī)偽裝成一個(gè)DNS服務(wù)器。

如果路由器使用DNS來(lái)解析名稱(chēng)，會(huì)在配置中看到類(lèi)似的命令：

Router（config）#hostname santa  
 
Router（config）#ip domain-name claus.gov  
 
Router（config）#ip name-server 200.1.1.1 202.1.1.1  
 
Router（config）#ip domain-lookup 

可以使用show hosts命令來(lái)查看已經(jīng)解析的名稱(chēng)。因?yàn)镈NS沒(méi)有固有的安全機(jī)制，易受到會(huì)話攻擊，在目的DNS服務(wù)器響應(yīng)之前，黑客先發(fā)送一個(gè)偽造的回復(fù)。如果路由器得到兩個(gè)回復(fù)，通常忽略第二個(gè)回復(fù)。

解決這個(gè)問(wèn)題，要么確保路由器有一個(gè)到DNS服務(wù)器的安全路徑，要么不要使用DNS,而使用手動(dòng)解析。使用手動(dòng)解析，可以關(guān)閉DNS,然后使用ip host命令靜態(tài)定義主機(jī)名。如果想阻止路由器產(chǎn)生DNS查詢(xún)，要么配置一個(gè)具體的DNS服務(wù)器（ip name-server），要么將這些查詢(xún)作為本地廣播（當(dāng)DNS服務(wù)器沒(méi)有被配置時(shí)），使用下面的配置：

Router#telnetwww.quizware.com80 （測(cè)試）  
 
Router（config）#no ip domain-lookup  
 
Router#telnetwww.cisco.com80 

cisco路由器關(guān)閉服務(wù)的更多資源請(qǐng)讀者閱讀：

cisco路由器之關(guān)閉一些不必要的服務(wù) 上篇

cisco路由器之關(guān)閉一些不必要的服務(wù) 下篇

【編輯推薦】

1. 網(wǎng)絡(luò)命令學(xué)習(xí)基礎(chǔ)之Route
2. 思科基礎(chǔ)知識(shí)：廣域網(wǎng)協(xié)議（1）
3. 思科基礎(chǔ)知識(shí)：使用訪問(wèn)列表管理流量
4. 網(wǎng)絡(luò)命令學(xué)習(xí)基礎(chǔ)之在cmd下更改ip地址

cisco路由器—域名解析

cisco路由器—SNMP