路由器可以用作FTP处事器和TFTP处事器，可以将映像从一台路由器复制到另一台。发起不要利用这个成果，因为FTP和TFTP都是不安详的协议。

默认地，FTP处事器在路由器上是封锁的，然而，为了安详起见，仍然发起在路由器上执行以下呼吁：Router（config）#no ftp-server write-enable （12.3版本开始）Router（config）#no ftp-server enable可以通过利用一个FTP客户端从PC举办测试，实验成立到路由器的毗连。

cisco路由器—HTTP

测试要领可以利用一个Web赏识器实验会见路由器。还可以从路由器的呼吁提示符下，利用下面的呼吁来举办测试：

Router#telnet 192.168.1.254 80   Router#telnet 192.168.1.254 443 要封锁以上两个处事以及验证，执行以下的步调：

Router（config）#no ip http server   Router（config）#no ip http secure-server Router#telnet 192.168.1.254 80 Router#telnet 192.168.1.254 443 Cisco安详装备打点器（Security Device Manager，SDM）用HTTP会见路由器，若是要用SDM来打点路由器，就不能封锁HTTP处事。

若是选择用HTTP做打点，应该用ip http access-class呼吁来限制对IP地点的会见。另外，也应该用ip http authentication呼吁来设置认证。对付交互式登录，HTTP认证最好的选择是利用一个TACACS+或RADIUS处事器，这可以制止将 enable口令用作HTTP口令。

SNMP可以用来长途监控和打点Cisco装备。然而，SNMP存在许多安详问题，出格是SNMP v1和v2中。要封锁SNMP处事，需要完成以下三件事：

1.从路由器设置中删除默认的集体字符串；

2.封锁SNMP陷阱和系统关机特征；

3.封锁SNMP处事。

要查察是否设置了SNMP呼吁，执行show running-config呼吁。

下面显示了用来完全封锁SNMP的设置：

Router（config）#no snmp-server community public RORouter（config）#no snmp-server community private RWRouter（config）#no snmp-server enable trapsRouter（config）#no snmp-server system-shutdownRouter（config）#no snmp-server trap-authRouter（config）#no snmp-server前两个呼吁删除了只读和读写集体字符串（集体字符串大概纷歧样）。接下来三个呼吁封锁SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上封锁SNMP处事。封锁SNMP处事之后，利用show snmp呼吁验证。

缺省情形下，Cisco路由器DNS处事会向255.255.255.255广播地点发送名字查询。应该制止利用这个广播地点，因为进攻者大概会借机伪装成一个DNS处事器。

若是路由器利用DNS来理会名称，会在设置中看到类似的呼吁：

Router（config）#hostname santa Router（config）#ip domain-name claus.gov Router（config）#ip name-server 200.1.1.1 202.1.1.1 Router（config）#ip domain-lookup可以利用show hosts呼吁来查察已经理会的名称。因为DNS没有固有的安详机制，易受到会话进攻，在目的DNS处事器响应之前，黑客先发送一个伪造的回覆。若是路由器获得两个回覆，凡是忽略第二个回覆。

办理这个问题，要么确保路由器有一个到DNS处事器的安详路径，要么不要利用DNS，而利用手动理会。利用手动理会，可以封锁DNS，然后利用ip host呼吁静态界说主机名。若是想阻止路由器发生DNS查询，要么设置一个详细的DNS处事器（ip name-server），要么将这些查询作为内地广播（当DNS处事器没有被设置时），利用下面的设置：

Router#telnetwww.quizware.com80 （测试）

Router（config）#no ip domain-lookup Router#telnetwww.cisco.com80 cisco