在我们配置cisco路由的时候，一些路由器中不常用或者有可能产生安全隐患的服务，我们是要将其关闭的。下面来看一下有哪些具体的服务是要关闭的。。

　　________________________________________________________________________________________________________

　　*关闭BOOTP 服务器  BOOTP 是一个UDP服务，CISCO 路由器用它来访问另一个运行BOOTP服务的CISCO路由器上的IOS 拷贝。  这项服务可能使攻击者有机会下载一台路由器配置的COPY.缺省情况下，该服务开启的

　　config t

　　no ip bootp server  *

　　________________________________________________________________________________________________________

　　.关闭CDP 服务   在全局模式下关闭CDP  config t  no cdp run  在接口模式下关闭CDP  config t  interface e0/1  no cdp enable  3.关闭配置自动加载服务  no service config

　　_______________________________________________________________________________________________________

　　*关闭DNS服务

　　no ip domain-lookup

　　_______________________________________________________________________________________________________

　　*.关闭HTTP服务（缺省启用）

　　config t

　　no ip http server

　　_______________________________________________________________________________________________

　　*关闭ICMP重定向（缺省启用）  CISCO IOS缺省是启动重定向消息，这种消息可以让一个端节点用特定路由器作为通向特定目的 的路径。  config t

　　inerface e0/0

　　no ip redirect

　　________________________________________________________________________________________

　　*关闭IP 源路由选择  IP 协议支持源路由选择，允许IP 报文的发送者控制报文到达最终目的地的路径。  可以在全局配置模式下禁止  config t

　　no ip source-route

　　____________________________________

　　*关闭ICMP不可达信息（缺省启用）  ICMP 不可达信息可以向发送这通告不正确（不可达）的 IP地址，攻击者能够借此映射网络。  接口模式关闭

　　config t

　　interface e0/0  no ip unreachable

　　_____________________________________________

　　*关闭代理ARP(缺省启用)  如果路由器上启用了代理ARP，路由器就扮演了第二层（数据链路层）地址解析代理的角色，使 得网络跨多个接口得以扩展。  攻击者可能会利用代理 ARP的信任特性，伪装成一台可信主机，中途截获数据包。

　　在端口模式下关闭

　　config t

　　interface e0/0  no ip proxy-arp

　　_____________________________

　　*.关闭小型服务器 （IOS11.3 之后缺省禁用）   一个攻击者可能发送一个 DNS 包，源地址伪装成一台可达的 DNS服务器，源端口伪装成 DNS服务端口（端口53），如果这样的数据包发往 CISCO路由器 UDP echo 端口，路由器就会向可疑的 服务器发送一个 DNS 数据包。这样的数据包会被当作路由器本身生成，不会进行外出 ACL 检查。关闭小型TCP UDP 服务

　　在全局模式

　　config t

　　no service tcp-small-servers

　　no service udp-small-servers

　　__________________________________________

　　*关闭TFTP服务器    对路由器的 TFTP 访问可用来获取路由器文件系统的访问权，因此路由器或网络本身有被攻击 的危险。

　　要禁用FLASH 内存TFTP服务器，可使用全局配置命令

　　conf t

　　no tftp-server flash

　　以上这些服务可能不是很全，大家仅供参考，有什么问题提出来大家讨论讨论。。。

责任编辑：小草

• 谷歌推出IPv6中文搜索
  
• 思科发布新一代媒体网络技术
  
• 思科公司明年将对交换机产品线进行全面升级
  
• 思科将发布“California”刀片服务器
  
• 解析FTP超带宽传输，网络高速的原因
  
• 中端路由器将引发网络产品升级新热潮
  
• IPv6近两年采用率增长了300%
  
• Cisco认证就业七大走向及职业发展方向
  
• 资讯：思科推进渠道协作顺应商业全球化变革
  
• CCIE+MBA=？思科推出新顶级认证CCA
  

• CCNA报考指南：CCNA考试详解
  
• 思科认证网络工程师
  
• 最新CCIE付费及实验面试介绍
  
• 报考指南：如何获得CCCP
  
• Cisco再认证的政策及过程
  
• 报考指南：CISCO认证注册
  
• 报考指南：CISCO认证种类
  
• Cisco技术认证简介
  
• CCDP-Cisco认证设计专家问答
  
• Cisco资格认证如何获得
  

• [试题库]CISCO模拟试题:CCNA考试自测题2
• [试题库]CISCO模拟试题:CCNA考试自测题1
• [试题库]CCIE最新模拟考试题_思科认证考试
• [试题库]CISCO资格认证考试：CCNA模拟试题
• [试题库]CISCO资格认证考试：CCNP模拟试题-BSCI
• [试题库]CISCO资格认证考试：CCNP模拟试题-BCMS
• [试题库]题库精选:CCNA考试自测题第5卷
• [试题库]题库精选:CCNA考试自测题第4卷
• [试题库]题库精选:CCNA考试自测题第3卷
• [试题库]题库精选:CCNA考试自测题第2卷

• CCNA-RIPv2认证及触发更新配置实验
• Cisco认证专家CCIE
• 分享Cisco3550配置DHCP的实际经验
• 利用SNMP协议来监测Cisco2950流量
• Cisco路由器用SSH替代Telnet连接
• 1000以上节点网络交换机：思科6509
• ACL学习：自反访问列表引入和配置
• CCNA基础：生成树协议学习笔记
• 路由映射表和基于策略的控制路由
• 用Passive-interface命令合理控制带宽

• 网络排除故障技巧及经验谈
• CCNA的三级通关路90天拿什么保驾护航
• 2009年三次恶战CCIERS实验经历
• 经验分享:JncIE和CCIE认证个人血泪史
• 如何快速排除PC上网故障
• 送给正在考证道路上迷茫的人
• CCIE笔试350-001我的考前准备方案
• CCNA——我的学习和考试感想
• 考Cisco认证,先看前辈考试经验
• 学习CCNA和CCNP如何提高英语水平