在互聯(lián)網(wǎng)的世界里，路由器是不可或缺的重要部件，沒有它我們將沒有辦法和五彩斑斕的外部世界建立聯(lián)系。因此，路由器的治理一直是治理員最重要的日常工作之一。

　　本文作者結(jié)合自己的工作實(shí)踐，總結(jié)了14條保護(hù)路由器、防止非法入侵的辦法，您不妨一試。路由器是系統(tǒng)的主要設(shè)備，也是安全的前沿關(guān)口。假如路由器連自身的安全都沒有保障，整個(gè)也就毫無安全可言。因此在安全治理上，必須對(duì)路由器進(jìn)行合理規(guī)劃、配置，采取必要的安全保護(hù)措施，避免因路由器自身的安全問題而給整個(gè)系統(tǒng)帶來和風(fēng)險(xiǎn)。下面是一些加強(qiáng)路由器安全的具體措施，用以阻止對(duì)路由器本身的攻擊，并防范信息被竊取。

　　1.為路由器間的協(xié)議交換增加認(rèn)證功能，提高安全性。

　　路由器的一個(gè)重要功能是路由的治理和維護(hù)，目前具有一定規(guī)模的都采用動(dòng)態(tài)的路由協(xié)議,常用的有：Rip、EIGRP、OSPF、IS-IS、BGP等。當(dāng)一臺(tái)設(shè)置了相同路由協(xié)議和相同區(qū)域標(biāo)示符的路由器加入后，會(huì)學(xué)習(xí)上的路由信息表。但此種方法可能導(dǎo)致拓?fù)湫畔⑿孤部赡苡捎谙虬l(fā)送自己的路由信息表，擾亂上正常工作的路由信息表，嚴(yán)重時(shí)可以使整個(gè)癱瘓。這個(gè)問題的解決辦法是對(duì)內(nèi)的路由器之間相互交流的路由信息進(jìn)行認(rèn)證。當(dāng)路由器配置了認(rèn)證方式，就會(huì)鑒別路由信息的收發(fā)方。有兩種鑒別方式，其中“純文本方式”安全性低，建議使用“md5方式”。

　　2.路由器的物理安全防范。

　　路由器控制端口是具有非凡權(quán)限的端口，假如攻擊者物理接觸路由器后，斷電重啟，實(shí)施“密碼修復(fù)流程”，進(jìn)而登錄路由器，就可以完全控制路由器。

　　3.保護(hù)路由器口令。

　　在備份的路由器配置文件中，密碼即使是用加密的形式存放，密碼明文仍存在被破解的可能。一旦密碼泄漏，也就毫無安全可言。

　　4.阻止察看路由器診斷信息。

　　關(guān)閉命令如下：noservicetcp-small-serversnoserviceudp-small-servers

　　5.阻止查看到路由器當(dāng)前的用戶列表。

　　關(guān)閉命令為：noservicefinger。

　　6.關(guān)閉CDP。

　　在OSI二層協(xié)議即鏈路層的基礎(chǔ)上可發(fā)現(xiàn)對(duì)端路由器的部分配置信息:設(shè)備平臺(tái)、操作系統(tǒng)版本、端口、IP地址等重要信息。可以用命令:nocdPRunning或nocdpenable關(guān)閉這個(gè)。

　　7.阻止路由器接收帶源路由標(biāo)記的包，將帶有源路由選項(xiàng)的流丟棄。

　　“IPsource-route”是一個(gè)全局配置命令，答應(yīng)路由器處理帶源路由選項(xiàng)標(biāo)記的流。啟用源路由選項(xiàng)后，源路由信息指定的路由使流能夠越過默認(rèn)的路由，這種包就可能繞過防火墻。關(guān)閉命令如下：noipsource-route。

　　8.關(guān)閉路由器廣播包的轉(zhuǎn)發(fā)。

　　sumrfD.o.S攻擊以有廣播轉(zhuǎn)發(fā)配置的路由器作為反射板，占用資源，甚至造成的癱瘓。應(yīng)在每個(gè)端口應(yīng)用“noipdirected-broadcast”關(guān)閉路由器廣播包。

　　9.治理HTTP。

　　HTTP提供Web治理接口。“noiphttpserver”可以停止HTTP。假如必須使用HTTP，一定要使用訪問列表“iphttpaccess-class”命令，嚴(yán)格過濾答應(yīng)的IP地址，同時(shí)用“iphttpauthentication”命令設(shè)定授權(quán)限制。

　　10.抵御spoofing(欺騙)類攻擊。

　　使用訪問控制列表，過濾掉所有目標(biāo)地址為廣播地址和宣稱來自內(nèi)部，實(shí)際卻來自外部的包。在路由器端口配置：ipaccess-grouplistinnumber訪問控制列表如下：access-listnumberdenyicmpanyanyredirectaccess-listnumberdenyip127.0.0.00.255.255.255anyaccess-listnumberdenyip224.0.0.031.255.255.255anyaccess-listnumberdenyiphost0.0.0.0any注:上述四行命令將過濾BOOTP/DHCP應(yīng)用中的部分包，在類似環(huán)境中使用時(shí)要有充分的熟悉。

　　11.防止包嗅探。

　　經(jīng)常將嗅探軟件安裝在已經(jīng)侵入的上的計(jì)算機(jī)內(nèi)，監(jiān)視流，從而盜竊密碼,包括SNMP通信密碼，也包括路由器的登錄和特權(quán)密碼，這樣治理員難以保證的安全性。在不可信任的上不要用非加密協(xié)議登錄路由器。假如路由器支持加密協(xié)議，請(qǐng)使用SSH或KerberizedTelnet，或使用IPSec加密路由器所有的治理流。