路由器操作係（xì）統同網絡（luò）操作係統一樣（yàng）容易（yì）受（shòu）到黑客的攻（gōng）擊。大多數中小企業沒有雇（gù）傭路由器工程師，也（yě）沒有把這項功能當成一件必須要做的事情外包出去。因此，網（wǎng）絡管理員和（hé）經理人既不十分了解也（yě）沒有時間去保證路由（yóu）器的安全（quán）。下麵是保證（zhèng）路由器安全的十個基本的（de）技巧。 

    1、更新你的路由器操作係統 

    就像網絡操作係（xì）統一樣，路（lù）由器操作（zuò）係（xì）統也需要更新，以便糾正編程錯誤（wù）、軟（ruǎn）件瑕疵和緩（huǎn）存溢出的問題。要（yào）經常向（xiàng）你的路由器廠商查詢當前的更新（xīn）和（hé）操作係統的版本。 

    2、修改默認的口令 

    據卡內基梅隆大學（xué）的計算機應急反應小（xiǎo）組稱，80%的安全事件都是由（yóu）於較弱或者默認的口令引起的。避（bì）免使（shǐ）用普（pǔ）通的口令，並（bìng）且使用大小寫字母混（hún）合（hé）的方式作為（wéi）更強大的口令規則。 

    3、禁用HTTP設置（zhì）和SNMP(簡單網（wǎng）絡（luò）管理協議) 

    你的路由器的HTTP設置（zhì）部分（fèn）對於一（yī）個繁忙的網絡管理員（yuán）來說是很容易（yì）設置的（de）。但是，這對路由器來說也（yě）是一個安全問題。如果你（nǐ）的路（lù）由（yóu）器（qì）有一個命令行（háng）設置，禁用HTTP方式並（bìng）且使用這種設置方式。如果你沒有（yǒu）使用你的路由器上的（de）SNMP，那麽你就不需要啟（qǐ）用這個功能。思（sī）科路由器存在一個容易（yì）遭受GRE隧道攻（gōng）擊（jī）的（de）SNMP安全漏洞。 

    4、封鎖（suǒ）ICMP(互聯網控製消息協議)ping請求 

    ping和（hé）其它ICMP功能對於網絡管理員和（hé）黑客都（dōu）是非常有用（yòng）的工具。黑客能夠（gòu）利用你（nǐ）的（de）路由器（qì）上啟用的ICMP功能（néng）找出可用來攻擊（jī）你的網絡的信息（xī）。 

    5、禁用來自互聯網的telnet命（mìng）令 

    在大多數情況（kuàng）下，你不需要（yào）來自互聯網接口的主動的telnet會話（huà）。如果（guǒ）從內部訪問你的路由器設置會更（gèng）安全一些。 

    6、禁用IP定向廣播 

    IP定（dìng）向（xiàng）廣播（bō）能夠允許對你的設備實施拒（jù）絕（jué）服（fú）務（wù）攻擊（jī）。一台路由（yóu）器（qì）的內存（cún）和CPU難（nán）以承（chéng）受太多的（de）請（qǐng）求（qiú）。這種結果（guǒ）會導致（zhì）緩存（cún）溢出（chū）。 

    7、禁用IP路由和IP重新定向 

    重新（xīn）定向允許數（shù）據包從一個接口進來然後從另一個接口（kǒu）出去。你不需（xū）要（yào）把精心設（shè）計的數據包重（chóng）新定向到專（zhuān）用的內部網路（lù）。 

    8、包過濾 

    包過濾僅傳遞（dì）你允許進入你的網（wǎng）絡的那種數據包。許多（duō）公司僅允許使（shǐ）用（yòng）80端（duān）口(HTTP)和110/25端口（kǒu）(電子郵件)。此外，你可以封（fēng）鎖和允許IP地址和範圍。 

    9、審查安（ān）全記錄 

    通過簡單地利（lì）用一些時（shí）間審查你的（de）記錄（lù）文件，你會看到明顯的攻（gōng）擊方式，甚至安全漏洞。你將為你經曆了如此多的攻擊（jī）感到驚奇。 

    10、不必（bì）要的服務 

    永（yǒng）遠禁用不必要的（de）服務，無論是路（lù）由（yóu）器、服務器和工作站上（shàng）的不必要的服務（wù）都要禁（jìn）用。思（sī）科的設備（bèi）通過網絡操作係統默認地提供一些小（xiǎo）的服務，如echo(回波),chargen(字符發（fā）生器協議)和discard(拋（pāo）棄協議)。