一、路由器换新的出现安全保护要如何设置

1. 为路由器间的协议交换增加认证功能，提高网络安全性。
　　路由器的一个重要功能是路由的管理和维护，目前具有一定规模的网络都采用动态的路由协议,常用的有：RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后，会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏，也可能由于向网络发送自己的路由信息表，扰乱网络上正常工作的路由信息表，严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式，就会鉴别路由信息的收发方。有两种鉴别方式，其中“纯文本方式”安全性低，建议使用“MD5方式”。
　　2. 路由器的物理安全防范。
　　路由器控制端口是具有特殊权限的端口，如果攻击者物理接触路由器后，断电重启，实施“密码修复流程”，进而登录路由器，就可以完全控制路由器。
　　3. 保护路由器口令。
　　在备份的路由器配置文件中，密码即使是用加密的形式存放，密码明文仍存在被破解的可能。一旦密码泄漏，网络也就毫无安全可言。
　　4. 阻止察看路由器诊断信息。
　　关闭命令如下： no service tcp-small-servers no service udp-small-servers
　　5. 阻止查看到路由器当前的用户列表。
　　关闭命令为：no service finger。
　　6. 关闭CDP服务。
　　在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。
　　7. 阻止路由器接收带源路由标记的包，将带有源路由选项的数据流丢弃。
　　“IP source-route”是一个全局配置命令，允许路由器处理带源路由选项标记的数据流。启用源路由选项后，源路由信息指定的路由使数据流能够越过默认的路由，这种包就可能绕过防火墙。关闭命令如下： no ip source-route。
　　8. 关闭路由器广播包的转发。
　　sumrf D.o.S攻击以有广播转发配置的路由器作为反射板，占用网络资源，甚至造成网络的瘫痪。应在每个端口应用“no ip directed-broadcast”关闭路由器广播包。
　　9. 管理HTTP服务。
　　HTTP服务提供Web管理接口。“no ip http server”可以停止HTTP服务。如果必须使用HTTP，一定要使用访问列表“ip http access-class”命令，严格过滤允许的IP地址，同时用“ip http authentication ”命令设定授权限制。
　　10. 抵御spoofing(欺骗) 类攻击。
　　使用访问控制列表，过滤掉所有目标地址为网络广播地址和宣称来自内部网络，实际却来自外部的包。 在路由器端口配置： ip access-group list in number 访问控制列表如下： access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令将过滤BOOTP/DHCP 应用中的部分数据包，在类似环境中使用时要有充分的认识。
　　11. 防止包嗅探。
　　黑客经常将嗅探软件安装在已经侵入的网络上的计算机内，监视网络数据流，从而盗窃密码,包括SNMP 通信密码，也包括路由器的登录和特权密码，这样网络管理员难以保证网络的安全性。在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议，请使用SSH 或 Kerberized Telnet，或使用IPSec加密路由器所有的管理流。
　　12.校验数据流路径的合法性。
　　使用RPF (reverse path forwarding)反相路径转发，由于攻击者地址是违法的，所以攻击包被丢弃，从而达到抵御spoofing 攻击的目的。RPF反相路径转发的配置命令为: ip verify unicast rpf。 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速转发。
　　13. 防止SYN 攻击。
　　目前，一些路由器的软件平台可以开启TCP 拦截功能，防止SYN 攻击，工作模式分拦截和监视两种，默认情况是拦截模式。(拦截模式: 路由器响应到达的SYN请求，并且代替服务器发送一个SYN-ACK报文，然后等待客户机ACK。如果收到ACK，再将原来的SYN报文发送到服务器; 监视模式：路由器允许SYN请求直接到达服务器，如果这个会话在30秒内没有建立起来，路由器就会发送一个RST,以清除这个连接。) 首先，配置访问列表，以备开启需要保护的IP地址: access list [1-199] [deny|permit] tcp any destination destination-wildcard 然后，开启TCP拦截： Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
　　14. 使用安全的SNMP管理方案。
　　SNMP广泛应用在路由器的监控、配置方面。SNMP Version 1在穿越公网的管理应用方面，安全性低，不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。配置命令： snmp-server community xxxxx RW xx ;xx是访问控制列表号 SNMP Version 2使用MD5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码，这是提高整体安全性能的有效手段。

二、路由器保护内网安全的步骤

导语：对于大多数企业局域网来说，路由器已经成为正在使用之中的最重要的安全设备之一。一般来说，大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。以下是我整理路由器保护内网安全的步骤的资料，欢迎阅读参考。

经过恰当的设置，边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话，这种路由器还能够让好人进入网络。不过，没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。

在下列指南中，我们将研究一下你可 以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙，而不是一个敞开的大门。

　　1.修改默认的口令

据国外调查显示，80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表，以及一个口令的可靠性测试。

　　2.关闭IP直接广播（IP Directed Broadcast）

你的服务器是很听话的。让它做什么它就做什么，而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中，攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。 参考你的路由器信息文件，了解如何关闭IP直接广播。例如，“Central（config）#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。

　　3.如果可能，关闭路由器的HTTP设置

正如思科的技术说明中简要说明的那样，HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，遗憾的是，HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

虽然这种未加密的口令对于你从远程位置（例如家里）设置你的路由器也许是非常方便的，但是，你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器，你一定要确保使用SNMPv3以上版本的协议，因为它支持更严格的口令。

　　4.封锁ICMP ping请求

ping的主要目的是识别目前正在使用的主机。因此，ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的`应答能力，你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”（script kiddies）。

请注意，这样做实际上并不能保护你的网络不受攻击，但是，这将使你不太可能成为一个攻击目标。

　　5.关闭IP源路由

IP协议允许一台主机指定数据包通过你的网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像，或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。6.确定你的数据包过滤的需求

封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。

对于高度安全的网络来说，特别是在存储或者保持秘密数据的时候，通常要求经过允许才可以过滤。在这种规定中，除了网路功能需要的之外，所有的端口和IP地址都必要要封锁。例如，用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问，而所有其它端口和地址都可以关闭。

大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时，可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如，封锁139端口和445（TCP和UDP）端口将使黑客更难对你的网络实施穷举攻击。封锁31337（TCP和UDP）端口将使Back Orifice木马程序更难攻击你的网络。

　　6.建立准许进入和外出的地址过滤政策

在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外，所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如，192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是，216.239.55.99这个地址很可能是欺骗性的，并且是一场攻击的一部分。

相反，来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此，应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最后，拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类（class E）地址段240.0.0.0-254.255.255.255.

　　7.保持路由器的物理安全

从网络嗅探的角度看，路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包，而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式，它们就能够接收和看到所有的广播，包括口令、POP3通信和Web通信。

然后，重要的是确保物理访问你的网络设备是安全的，以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

　　8.花时间审阅安全记录

审阅你的路由器记录（通过其内置的防火墙功能）是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录，你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。

此外，一般来说，路由器位于你的网络的边缘，并且允许你看到进出你的网络全部通信的状况。