cisco关闭不必要的服务

　　*关闭BOOTP 服务器 BOOTP 是一个UDP服务，CISCO 路由器用它来访问另一个运行BOOTP服务的CISCO路由器上的IOS 拷贝。 这项服务可能使攻

击者有机会下载一台路由器配置的COPY.缺省情况下，该服务开启的

　　config t

　　no ip bootp server *

　　___________________________________________________________

　　.关闭CDP 服务 在全局模式下关闭CDP config t no cdp run 在接口模式下关闭CDP config t interface e0/1 no cdp enable 3.关闭配

置自动加载服务 no service config

　　______________________________________________________________

　　*关闭DNS服务

　　no ip domain-lookup

　　_____________________________________________________________

　　*.关闭HTTP服务（缺省启用）

　　config t

　　no ip http server

　　_____________________________________________________________

　　*关闭ICMP重定向（缺省启用） CISCO IOS缺省是启动重定向消息，这种消息可以让一个端节点用特定路由器作为通向特定目的 的路径。

config t

　　inerface e0/0

　　no ip redirect

　　_____________________________________________________________

　　*关闭IP 源路由选择 IP 协议支持源路由选择，允许IP 报文的发送者控制报文到达最终目的地的路径。 可以在全局配置模式下禁止

config t

　　no ip source-route

　　____________________________________

　　*关闭ICMP不可达信息（缺省启用） ICMP 不可达信息可以向发送这通告不正确（不可达）的 IP地址，攻击者能够借此映射网络。 接口

模式关闭

　　config t

　　interface e0/0 no ip unreachable

　　_____________________________________________

　　*关闭代理ARP(缺省启用) 如果路由器上启用了代理ARP，路由器就扮演了第二层（数据链路层）地址解析代理的角色，使 得网络跨多个

接口得以扩展。 攻击者可能会利用代理 ARP的信任特性，伪装成一台可信主机，中途截获数据包。

　　在端口模式下关闭

　　config t

　　interface e0/0 no ip proxy-arp

　　_____________________________

　　*.关闭小型服务器 （IOS11.3 之后缺省禁用） 一个攻击者可能发送一个 DNS 包，源地址伪装成一台可达的 DNS服务器，源端口伪装成

DNS服 务端口（端口53），如果这样的数据包发往 CISCO路由器 UDP echo 端口，路由器就会向可疑的 服务器发送一个 DNS 数据包。这样的

数据包会被当作路由器本身生成，不会进行外出 ACL 检查。关闭小型TCP UDP 服务

　　在全局模式

　　config t

　　no service tcp-small-servers

　　no service udp-small-servers

　　__________________________________________

　　*关闭TFTP服务器 对路由器的 TFTP 访问可用来获取路由器文件系统的访问权，因此路由器或网络本身有被攻击 的危险。

　　要禁用FLASH 内存TFTP服务器，可使用全局配置命令

　　conf t

　　no tftp-server fla本文出自 “虫子的博客” 博客，请务必保留此出处http://xlogin.blog.51cto.com/3473583/1068545