快速加强路由器安全的十个小技巧

要不是思科最新发布的安全警告的提醒，不少网络管理员尚未认识到他们的路由器可以成为攻击的热点。路由器操做系统同网络操做系统同样容易受到黑客的攻击。大多数中小企业没有雇佣路由器工程师，也没有把这项功能当成一件必需要作的事情外包出去。所以，网络管理员和经理人既不十分了解也没有时间去保证路由器的安全。下面是保证路由器安全的十个基本的技巧。

1.更新你的路由器操做系统：就像网络操做系统同样，路由器操做系统也须要更新，以便纠正编程错误、软件瑕疵和缓存溢出的问题。要常常向你的路由器厂商查询当前的更新和操做系统的版本。

2.修改默认的口令：据卡内基梅隆大学的计算机应急反应小组称，80%的安全事件都是因为较弱或者默认的口令引发的。避免使用普通的口令，而且使用大小写字母混合的方式做为更强大的口令规则。

3.禁用HTTP设置和SNMP（简单网络管理协议）：你的路由器的HTTP设置部分对于一个繁忙的网络管理员来讲是很容易设置的。可是，这对路由器来讲也是一个安全问题。若是你的路由器有一个命令行设置，禁用HTTP方式而且使用这种设置方式。若是你没有使用你的路由器上的SNMP，那么你就不须要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。

4.封锁ICMP（互联网控制消息协议）ping请求：ping和其它ICMP功能对于网络管理员和黑客都是很是有用的工具。黑客可以利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。

5.禁用来自互联网的telnet命令：在大多数状况下，你不须要来自互联网接口的主动的telnet会话。若是从内部访问你的路由器设置会更安全一些。

6.禁用IP定向广播：IP定向广播可以容许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。这种结果会致使缓存溢出。

7.禁用IP路由和IP从新定向：从新定向容许数据包从一个接口进来而后从另外一个接口出去。你不须要把精心设计的数据包从新定向到专用的内部网路。

8.包过滤：包过滤仅传递你容许进入你的网络的那种数据包。许多公司仅容许使用80端口（HTTP）和110/25端口（电子邮件）。此外，你能够封锁和容许IP地址和范围。

9.审查安全记录：经过简单地利用一些时间审查你的记录文件，你会看到明显的攻击方式，甚至安全漏洞。你将为你经历了如此多的攻击感到惊奇。

10.没必要要的服务：永远禁用没必要要的服务，不管是路由器、服务器和工做站上的没必要要的服务都要禁用。思科的设备经过网络操做系统默认地提供一些小的服务，如echo（回波）,chargen（字符发生器协议）和discard（抛弃协议）。这些服务，特别是它们的UDP服务，不多用于合法的目的。可是，这些服务可以用来实施拒绝服务攻击和其它攻击。包过滤能够防止这些攻击。