路由器是計(jì)算機(jī)網(wǎng)絡(luò)的入網(wǎng)節(jié)點(diǎn)設(shè)備，其安全性直接影響著內(nèi)部網(wǎng)絡(luò)及信息系統(tǒng)的運(yùn)行質(zhì)量，有效的路由器安全機(jī)制可顯著提高網(wǎng)絡(luò)的安全性。因此總結(jié)了提升網(wǎng)絡(luò)路由器訪問(wèn)安全的常用策略設(shè)置，供大家參考。

登錄口令安全設(shè)置

口令管理是路由器的第一道防護(hù)屏障，也是黑客攻擊的一個(gè)重要目標(biāo)。如果路由器登錄口令很容易被攻破，那么內(nèi)部網(wǎng)絡(luò)的安全也就無(wú)從談起。據(jù)調(diào)查顯示，大多數(shù)安全突破事件是由薄弱口令引起的。就路由器而言，高強(qiáng)度的密碼安全策略顯得尤為重要，需要為特權(quán)模式的進(jìn)入設(shè)置復(fù)雜、強(qiáng)壯的長(zhǎng)口令，而且不提倡采用“enable password”設(shè)置可顯示口令，而要用“enable secret”命 令 設(shè)置，啟用“Service passwordencryption（密碼加密服務(wù)）”。

按需進(jìn)行訪問(wèn)限制

采用訪問(wèn)控制列表可以過(guò)濾流經(jīng)路由器各端口的數(shù)據(jù)流，控制對(duì)重要網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限，也可以對(duì)一些已知的常見(jiàn)攻擊進(jìn)行屏蔽。訪問(wèn)控制列表（ACL）是應(yīng)用到路由器接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。

訪問(wèn)列表為網(wǎng)絡(luò)控制提供了一個(gè)有力的方法，這些列表增加了在路由器上過(guò)濾數(shù)據(jù)包出入的靈活性。具體方法是，首先定義訪問(wèn)控制列表，然后在具體物理接口上應(yīng)用該訪問(wèn)控制列表。

封鎖攻擊嗅探風(fēng)險(xiǎn)

對(duì)攻擊者而言，ICMP探測(cè)可以識(shí)別在線使用的路由設(shè)備，通常用于更大規(guī)模的協(xié)同性攻擊前的偵察活動(dòng)。通過(guò)封鎖遠(yuǎn)程ICMP響應(yīng)，可拒絕入侵者的探測(cè)請(qǐng)求應(yīng)答。

這樣做雖然不能保護(hù)自己的網(wǎng)絡(luò)免受攻擊，但顯而易見(jiàn)的效果是，這將可以使用戶成為黑客攻擊的潛在選擇目標(biāo)的幾率大大降低。

過(guò)濾木馬病毒端口

病毒入侵經(jīng)常會(huì)使用某些特殊端口，如4444、135/139等，關(guān)閉這些端口可有效防止常見(jiàn)病毒和木馬攻擊。比如，沖擊波病毒使用TCP 與 UDP 的 135、136、137、138、139、445 等端口進(jìn)行傳播，如果在路由器上禁止上述端口的數(shù)據(jù)包通過(guò)，就可有效防范該病毒傳播。

1.定義訪問(wèn)控制列表

2.將該訪問(wèn)控制列表應(yīng)用到指定的接口

堵塞SYN攻擊漏洞

TCP攔截可防止SYN泛洪攻擊。SYN攻擊利用的是TCP的三次握手機(jī)制，用偽造的IP地址向被攻擊端發(fā)出請(qǐng)求，而被攻擊端發(fā)出的響應(yīng)報(bào)文將永遠(yuǎn)發(fā)送不到目的地，那么被攻擊端在等待關(guān)閉這個(gè)連接的過(guò)程中將不斷消耗資源；如果有成千上萬(wàn)的這種連接，主機(jī)資源將被耗盡，從而達(dá)到攻擊的目的。

比如，對(duì)于重要的Web服務(wù)器，IP地 址 為192.168.1.8/24，配置路由器進(jìn)行TCP攔截，可保護(hù)Web服務(wù)器免受SYN洪水攻擊。開(kāi)啟TCP攔截的方法：

1.設(shè)置TCP攔截的工作模式。TCP攔截的工作模式分為攔截和監(jiān)視。為減輕路由器審核TCP連接帶來(lái)的負(fù)擔(dān)，一般使用監(jiān)視模式。

ip tcp intercept mode interceptlwatch

2.設(shè)置訪問(wèn)列表，設(shè)置需要保護(hù)的IP地址

3.開(kāi)啟TCP攔截

加強(qiáng)SNMP安全設(shè)置

利用SNMP v3數(shù)據(jù)傳輸加密處理功能，結(jié)合訪問(wèn)控制列表，能有效提升網(wǎng)絡(luò)管理系統(tǒng)的通信安全性。

SNMP v3是基于用戶的安全模型（USM），即對(duì)網(wǎng)管消息進(jìn)行加密和認(rèn)證是基于用戶進(jìn)行，通過(guò)認(rèn)證、加密和訪問(wèn)時(shí)限等方式，提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)保密和消息時(shí)限服務(wù)，從而有效防止非授權(quán)用戶對(duì)管理信息的修改、偽裝和竊聽(tīng)。

以CISCO路由器為例，SNMPv3的設(shè)置方法：

1.創(chuàng)建訪問(wèn)視圖

2.創(chuàng)建用戶組，啟用只讀功能

3.創(chuàng)建用戶，設(shè)置認(rèn)證、密碼及用戶組