快速加強路由器安全的十個小技巧

要不是思科最新發布的安全警告的提醒，不少網絡管理員尚未認識到他們的路由器可以成爲攻擊的熱點。路由器操做系統同網絡操做系統同樣容易受到黑客的攻擊。大多數中小企業沒有僱傭路由器工程師，也沒有把這項功能當成一件必需要作的事情外包出去。所以，網絡管理員和經理人既不十分了解也沒有時間去保證路由器的安全。下面是保證路由器安全的十個基本的技巧。

1.更新你的路由器操做系統：就像網絡操做系統同樣，路由器操做系統也須要更新，以便糾正編程錯誤、軟件瑕疵和緩存溢出的問題。要常常向你的路由器廠商查詢當前的更新和操做系統的版本。

2.修改默認的口令：據卡內基梅隆大學的計算機應急反應小組稱，80%的安全事件都是因爲較弱或者默認的口令引發的。避免使用普通的口令，而且使用大小寫字母混合的方式做爲更強大的口令規則。

3.禁用HTTP設置和SNMP（簡單網絡管理協議）：你的路由器的HTTP設置部分對於一個繁忙的網絡管理員來講是很容易設置的。可是，這對路由器來講也是一個安全問題。若是你的路由器有一個命令行設置，禁用HTTP方式而且使用這種設置方式。若是你沒有使用你的路由器上的SNMP，那麼你就不須要啓用這個功能。思科路由器存在一個容易遭受GRE隧道攻擊的SNMP安全漏洞。

4.封鎖ICMP（互聯網控制消息協議）ping請求：ping和其它ICMP功能對於網絡管理員和黑客都是很是有用的工具。黑客可以利用你的路由器上啓用的ICMP功能找出可用來攻擊你的網絡的信息。

5.禁用來自互聯網的telnet命令：在大多數狀況下，你不須要來自互聯網接口的主動的telnet會話。若是從內部訪問你的路由器設置會更安全一些。

6.禁用IP定向廣播：IP定向廣播可以容許對你的設備實施拒絕服務攻擊。一臺路由器的內存和CPU難以承受太多的請求。這種結果會致使緩存溢出。

7.禁用IP路由和IP從新定向：從新定向容許數據包從一個接口進來而後從另外一個接口出去。你不須要把精心設計的數據包從新定向到專用的內部網路。

8.包過濾：包過濾僅傳遞你容許進入你的網絡的那種數據包。許多公司僅容許使用80端口（HTTP）和110/25端口（電子郵件）。此外，你能夠封鎖和容許IP地址和範圍。

9.審查安全記錄：經過簡單地利用一些時間審查你的記錄文件，你會看到明顯的攻擊方式，甚至安全漏洞。你將爲你經歷瞭如此多的攻擊感到驚奇。

10.沒必要要的服務：永遠禁用沒必要要的服務，不管是路由器、服務器和工做站上的沒必要要的服務都要禁用。思科的設備經過網絡操做系統默認地提供一些小的服務，如echo（回波）,chargen（字符發生器協議）和discard（拋棄協議）。這些服務，特別是它們的UDP服務，不多用於合法的目的。可是，這些服務可以用來實施拒絕服務攻擊和其它攻擊。包過濾能夠防止這些攻擊。