路由器安全

使用扩展访问列表　　　　扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型，也可以阻止DoS攻击。既可以限制源目的地址,TCP/UDP端口,还可以限制端口速率.Show ip access-list命令能够显示每个扩展访问列表的匹配数据包，根据数据包的类型，用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求，这表明网络受到了SYN Flood攻击，这时用户就可以改变访问列表的配置，阻止DoS攻击。

使用QoS　　　　使用服务质量优化(QoS)特征，如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等，都可以有效阻止DoS攻击。需要注意的是，不同的QoS策略对付不同DoS攻击的效果是有差别的。例如，WFQ对付Ping Flood攻击要比防止SYN Flood攻击更有效，这是因为Ping Flood通常会在WFQ中表现为一个单独的传输队列，而SYN Flood攻击中的每一个数据包都会表现为一个单独的数据流。此外，人们可以利用CAR来限制ICMP数据包流量的速度，防止Smurf攻击，也可以用来限制SYN数据包的流量速度，防止SYN Flood攻击。使用QoS防止DoS攻击，需要用户弄清楚QoS以及DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的防范措施。　　　　使用地址逆向转发　　　　逆向转发(RPF)是路由器的一个输入功能，该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包，但是路由表中没有为该IP地址提供任何路由信息或者收到数据包的接口不是路由表中的出接口，路由器就会丢弃该数据包，因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。　　　　　　　　　　使用基于内容的访问控制　　　　基于内容的访问控制(CBAC)是对传统访问列表的扩展，它基于应用层会话信息(或者可以针对数据包的任何一位)，智能化地过滤TCP和UDP数据包，防止DoS攻击。　　　　　　　 修改默认的口令

据国外调查显示，80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表，以及一个口令的可靠性测试。

关闭路由器的HTTP设置

正如思科的技术说明中简要说明的那样，HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，遗憾的是，HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

虽然这种未加密的口令对于你从远程位置（例如家里）设置你的路由器也许是非常方便的，但是，你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器，你一定要确保使用SNMPv3以上版本的协议，因为它支持更严格的口令。

封锁ICMP ping请求

ping的主要目的是识别目前正在使用的主机。因此，ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力，你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”（script kiddies）。

请注意，这样做实际上并不能保护你的网络不受攻击，但是，这将使你不太可能成为一个攻击目标。

关闭IP源路由

IP协议允许一台主机指定数据包通过你的网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像，或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。

关闭不必要的服务

路由器除了提供Telnet远程登录服务外，还提供很多二层、三层的服务。路由器上运行的服务越多，安全隐患也就越大。其实，很多服务是路由器通常不需要的，这就需要管理员了解各种服务的用途，根据实际情况关闭一些不需要的服务。甚至可以关闭远程登录和管理。

保持路由器的物理安全

从网络嗅探的角度看，路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包，而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式，它们就能够接收和看到所有的广播，包括口令、POP3通信和Web通信。

然后，重要的是确保物理访问你的网络设备是安全的，以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

花时间审阅安全记录

审阅你的路由器记录（通过其内置的防火墙功能）是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录，你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。

本文转自游来游去岛博客51CTO博客，原文链接http://blog.51cto.com/ylyqd/2219如需转载请自行联系原作者

wingking84