很多中小企業(yè)并沒(méi)有注意到路由器的安全性，更談不上雇傭的路由器工程師，也沒(méi)有把這項(xiàng)功能當(dāng)成一件必須要做的事情外包出去，這導(dǎo)致了很多黑客從這個(gè)地方進(jìn)入到企業(yè)系統(tǒng)內(nèi)部。下面是保證路由器安全的十個(gè)基本的技巧。

　　1.更新你的路由器操作系統(tǒng)：就像網(wǎng)絡(luò)操作系統(tǒng)一樣，路由器操作系統(tǒng)也需要更新，以便糾正編程錯(cuò)誤、軟件瑕疵和緩存溢出的問(wèn)題。要經(jīng)常向你的路由器廠商查詢當(dāng)前的更新和操作系統(tǒng)的版本。

　　2.修改默認(rèn)的口令：據(jù)卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急反應(yīng)小組稱，80%的安全事件都是由于較弱或者默認(rèn)的口令引起的。避免使用普通的口令，并且使用大小寫字母混合的方式作為更強(qiáng)大的口令規(guī)則。

　　3.禁用HTTP設(shè)置和SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）：你的路由器的HTTP設(shè)置部分對(duì)于一個(gè)繁忙的網(wǎng)絡(luò)管理員來(lái)說(shuō)是很容易設(shè)置的。但是，這對(duì)路由器來(lái)說(shuō)也是一個(gè)安全問(wèn)題。如果你的路由器有一個(gè)命令行設(shè)置，禁用HTTP方式并且使用這種設(shè)置方式。如果你沒(méi)有使用你的路由器上的SNMP，那么你就不需要啟用這個(gè)功能。思科路由器存在一個(gè)容易遭受GRE隧道攻擊的SNMP安全漏洞。

　　4.封鎖ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）ping請(qǐng)求：ping和其它ICMP功能對(duì)于網(wǎng)絡(luò)管理員和黑客都是非常有用的工具。黑客能夠利用你的路由器上啟用的ICMP功能找出可用來(lái)攻擊你的網(wǎng)絡(luò)的信息。

　　5.禁用來(lái)自互聯(lián)網(wǎng)的telnet命令：在大多數(shù)情況下，你不需要來(lái)自互聯(lián)網(wǎng)接口的主動(dòng)的telnet會(huì)話。如果從內(nèi)部訪問(wèn)你的路由器設(shè)置會(huì)更安全一些。

　　6.禁用IP定向廣播：IP定向廣播能夠允許對(duì)你的設(shè)備實(shí)施拒絕服務(wù)攻擊。一臺(tái)路由器的內(nèi)存和CPU難以承受太多的請(qǐng)求。這種結(jié)果會(huì)導(dǎo)致緩存溢出。

　　7.禁用IP路由和IP重新定向：重新定向允許數(shù)據(jù)包從一個(gè)接口進(jìn)來(lái)然后從另一個(gè)接口出去。你不需要把精心設(shè)計(jì)的數(shù)據(jù)包重新定向到專用的內(nèi)部網(wǎng)路。

　　8.包過(guò)濾：防火墻的一類。傳統(tǒng)的包過(guò)濾功能在路由器上?？煽吹剑鴮ｉT的防火墻系統(tǒng)一般在此之上加了功能的擴(kuò)展，如狀態(tài)檢測(cè)等。它通過(guò)檢查單個(gè)包的地址，協(xié)議，端口等信息來(lái)決定是否允許此數(shù)據(jù)包通過(guò)。

　　包過(guò)濾防火墻是簡(jiǎn)單的一種防火墻，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來(lái)檢測(cè)攻擊行為。包過(guò)濾防火墻一般作用在網(wǎng)絡(luò)層（IP層），故也稱網(wǎng)絡(luò)層防火墻（Network Lev Firewall）或IP過(guò)濾器（IP filters）。數(shù)據(jù)包過(guò)濾（Packet Filtering）是指在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇。通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型等因素或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。在網(wǎng)絡(luò)層提供較低級(jí)別的安全防護(hù)和控制。

　　9.審查安全記錄：通過(guò)簡(jiǎn)單地利用一些時(shí)間審查你的記錄文件，你會(huì)看到明顯的攻擊方式，甚至安全漏洞。你將為你經(jīng)歷了如此多的攻擊感到驚奇。

　　10.不必要的服務(wù)：永遠(yuǎn)禁用不必要的服務(wù)，無(wú)論是路由器、服務(wù)器和工作站上的不必要的服務(wù)都要禁用。思科的設(shè)備通過(guò)網(wǎng)絡(luò)

　　操作系統(tǒng)默認(rèn)地提供一些小的服務(wù)，如echo（回波），chargen（字符發(fā)生器協(xié)議）和discard（拋棄協(xié)議）。這些服務(wù)，特別是它們的UDP服務(wù)，很少用于合法的目的。但是，這些服務(wù)能夠用來(lái)實(shí)施拒絕服務(wù)攻擊和其它攻擊。包過(guò)濾可以防止這些攻擊。

　　編者按：從前以服務(wù)器為攻擊目標(biāo)，現(xiàn)在以路由器為主要攻擊目標(biāo)。從前的攻擊，針對(duì)大型企業(yè)或單位，通常有對(duì)外開(kāi)放的服務(wù)器，例如網(wǎng)頁(yè)服務(wù)器、電子郵件服務(wù)器，但是針對(duì)網(wǎng)吧的攻擊往往變成以路由器為目標(biāo)。由于Linux或是NT操作系統(tǒng)中，都根據(jù)SYN攻擊的TCP/UDP/ICMP參數(shù)可以進(jìn)行調(diào)整的功能。但相對(duì)于嵌入式操作系統(tǒng)的路由器，彈性較小，沒(méi)有提供這樣的功能，因此相對(duì)防御能力較弱。

　　說(shuō)白了：守住路由器安全就等于守住了網(wǎng)絡(luò)入侵的大門，網(wǎng)絡(luò)管理員看完上面的路由技巧后，再針對(duì)各自的安全優(yōu)勢(shì)加以整合應(yīng)用，守住企業(yè)網(wǎng)絡(luò)安全將不再困難。