路由器經過（guò）恰當的設置，邊緣（yuán）路由器能夠把（bǎ）幾乎（hū）所有的最頑固（gù）的（de）壞分子擋在網絡之外（wài）。如果你願意的話，這種路由器還能夠讓好人（rén）進入網絡。不過，沒有恰當設置的路由（yóu）器隻是比根本就沒有（yǒu）安全（quán）措施稍微好一點。

在下列指南中，我們將研究一下你可以用來保護網絡安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網絡的（de）磚牆，而不是一（yī）個敞開的（de）大門（mén）。

1.修改默認的（de）口令

據國外調（diào）查（chá）顯示，80%的網（wǎng）絡（luò）安全（quán）突破（pò）事件是由薄弱的口令引起的。網絡（luò）上有大多數（shù）路由器的廣泛的（de）默認口令列表。你可以肯定（dìng）在某些地方的某（mǒu）個人（rén）會知道（dào）你的生日（rì）。SecurityStats.com網站維護一個詳盡的可（kě）用/不可用口令列表，以及一個口令的可靠性測試。

2.關閉（bì）IP直接廣播（IPDirectedBroadcast）

你（nǐ）的（de）服務器是很聽話的。讓它做（zuò）什麽它就做（zuò）什麽（me），而且不（bú）管是誰發出的指令。Smurf攻擊是一種拒絕（jué）服務攻擊。在這種攻擊中，攻擊者使用假冒的源地（dì）址向你的網（wǎng）絡廣播地址發送一個“ICMPecho”請求。這要求所有的主機對這個廣播請（qǐng）求做出回（huí）應。這種情況（kuàng）至少會降（jiàng）低（dī）你的網絡性（xìng）能。

參考（kǎo）你的路由（yóu）器（qì）信息（xī）文件，了解如（rú）何關閉IP直接廣播。例（lì）如，“Central（config）#noipsource-route”這個指令將關（guān）閉（bì）思科路（lù）由器的IP直接廣播地址。

3.如果可能，關閉路（lù）由（yóu）器（qì）的HTTP設（shè）置

正如思（sī）科的技術說明（míng）中簡要說（shuō）明的（de）那（nà）樣，HTTP使用的身份識別協議相當（dāng）於向整個網絡發送一（yī）個（gè）未加密的口（kǒu）令。然而（ér），遺憾的（de）是，HTTP協議中沒有一（yī）個用（yòng）於驗證（zhèng）口（kǒu）令或（huò）者（zhě）一次性（xìng）口令（lìng）的（de）有效規定。

雖然這種（zhǒng）未加密的口令對於你（nǐ）從遠程（chéng）位（wèi）置（例如家（jiā）裏）設置你的路由器（qì）也（yě）許（xǔ）是非常方便的，但是，你（nǐ）能夠做到的事情其他（tā）人也照樣（yàng）可以做到。特別是如果（guǒ）你仍在使用默認的口令（lìng）!如果你必須遠程管理（lǐ）路由器，你一定要（yào）確（què）保使用SNMPv3以上版本的協議，因為它支持更嚴格的口令。

4.封鎖ICMPping請求

ping的主要目的是識別目前正在（zài）使用的主機。因（yīn）此，ping通常用（yòng）於更大規模（mó）的（de）協（xié）同性攻擊之前的偵察活動。通過取消遠程用戶（hù）接收ping請（qǐng）求的應答能力，你就更容易避開那些無人（rén）注意的掃描活動或者防禦那些尋找容（róng）易（yì）攻擊的目標的“腳本（běn）小子”（scriptkiddies）。

請（qǐng）注意，這樣做實際上並不能保護（hù）你的網（wǎng）絡不受攻（gōng）擊，但（dàn）是（shì），這將使你不太（tài）可（kě）能成為一（yī）個（gè）攻擊目標。

5.關閉IP源（yuán）路由

IP協議允許一台（tái）主（zhǔ）機指（zhǐ）定數據包通（tōng）過你的網絡的路由（yóu），而不是允（yǔn）許網絡組件確定最佳的（de）路徑。這個功（gōng）能的合法的應用是用於診斷連接故障。但是，這種用途很（hěn）少應用。這項功能最常用的用途是為了（le）偵察目（mù）的對（duì）你（nǐ）的網絡進行鏡像，或者用於攻擊者在你的專用網（wǎng）絡中尋找一個後門。除非指定這項功能隻能用於診斷故（gù）障，否（fǒu）則應該關閉這個（gè）功能（néng）。

6.確定你的數（shù）據（jù）包（bāo）過（guò）濾的需求

封鎖端（duān）口（kǒu）有兩（liǎng）項理（lǐ）由。其中之一根（gēn）據你對網絡安全水平的要求（qiú）對於你的網絡是合（hé）適的。

對於高度網絡安全來說（shuō），特別是在存（cún）儲或者保持秘密數據的時候，通（tōng）常要求經過允許才可以過濾（lǜ）。在這種規（guī）定中，除了網路功能需要的（de）之（zhī）外，所（suǒ）有的端（duān）口（kǒu）和IP地（dì）址都必（bì）要要封鎖。例如，用於（yú）web通信的端口（kǒu）80和用於SMTP的110/25端口（kǒu）允許（xǔ）來自指（zhǐ）定地（dì）址的訪問（wèn），而（ér）所有其它端口和地址都可以關閉。

大多數網絡（luò）將通過使用“按拒絕請求實施過（guò）濾”的方案享（xiǎng）受可以（yǐ）接受的安全（quán）水平。當使用這（zhè）種過濾政策時（shí），可以封鎖你的（de）網絡沒有使用的（de）端口和特洛伊木馬或（huò）者偵查活動常用的（de）端口來增強你的網絡的（de）安全性（xìng）。例如，封鎖139端口（kǒu）和（hé）445（TCP和UDP）端口將使（shǐ）黑客（kè）更難（nán）對你的網絡實施窮舉攻擊。封（fēng）鎖31337（TCP和（hé）UDP）端口將使BackOrifice木（mù）馬（mǎ）程序（xù）更難攻擊（jī）你（nǐ）的網絡（luò）。

這項工作應該在網絡規劃階段確（què）定（dìng），這時候（hòu）網絡安（ān）全水平的要求應該符合（hé）網絡（luò）用戶的需求。查看這（zhè）些端口的列表，了解這些端口正（zhèng）常的用途。

7.建立準許進入和（hé）外出的地址（zhǐ）過濾政策（cè）

在你的邊界路由器上建（jiàn）立政策以便（biàn）根（gēn）據IP地址過濾進出網絡的違（wéi）反安全規定（dìng）的行為。除了特殊（shū）的不同（tóng）尋常（cháng）的案例之外，所有試圖從你的（de）網絡內部訪問互聯（lián）網的IP地址都應該（gāi）有一（yī）個分配給你的局（jú）域網的地址。例如，192.168.0.1這個地址也許通過（guò）這個路（lù）由器訪（fǎng）問互聯（lián）網是合法的。但是，216.239.55.99這個（gè）地址很可（kě）能是欺騙性的，並且是一場攻擊的一部分。

相（xiàng）反，來自（zì）互聯網外部（bù）的通（tōng）信的源地址應該（gāi）不是你的（de）內（nèi）部網絡的一部分。因此，應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最後，擁有源（yuán）地址（zhǐ）的（de）通信（xìn）或者保留的和無法路由的目標地址的（de）所有的通信都應（yīng）該允許通過這台（tái）路由器。這包括回送地址（zhǐ）127.0.0.1或者E類（lèi）（classE）地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

從網（wǎng）絡（luò）嗅探的角度看（kàn），路由（yóu）器比集線器更安全（quán）。這是因為路由（yóu）器根據IP地址智能（néng）化地路由數據包（bāo），而集（jí）線器（qì）相所有（yǒu）的節點播出數據。如（rú）果連（lián）接到那台集線器的（de）一個（gè）係統將其（qí）網絡適配器置於混亂的（de）模式（shì），它（tā）們就（jiù）能夠（gòu）接收（shōu）和看（kàn）到所（suǒ）有的廣播，包（bāo）括口令、POP3通（tōng）信和Web通信（xìn）。

然後，重要的是確保物（wù）理訪問你的（de）網絡設備是安全（quán）的，以防止未經允許的筆（bǐ）記本電腦（nǎo）等嗅探設（shè）備放在你的本地子網中。

9.花時（shí）間審閱安全記（jì）錄

審閱你（nǐ）的（de）路由器記（jì）錄（通過（guò）其內置的防火牆功能（néng））是查出（chū）安全事件的最有效的（de）方法，無論是（shì）查出（chū）正在實施的攻擊還是（shì）未來攻（gōng）擊的征候都非（fēi）常有效。利（lì）用出網的（de）記錄（lù），你還能夠查出試（shì）圖建（jiàn）立外部連（lián）接的（de）特洛伊（yī）木馬程（chéng）序和（hé）間諜軟件程序。用心（xīn）的網絡安全管理員在病（bìng）毒傳（chuán）播者作出（chū）反應之前能夠查（chá）出“紅色（sè）代碼”和“Nimda”病毒的攻擊。

路由器一般情（qíng）況（kuàng）下，位於你的網絡的邊緣，並且允許你看到進出你的網（wǎng）絡（luò）全部通信的狀況。