路由器【lù yóu qì】🐫经过恰👛当的设置，边缘路由器【lù yóu qì】🐫能够把几🤫乎所有【hū suǒ yǒu】🚘的最顽🎖固的坏分子挡【fèn zǐ dǎng】在网络【luò】✈之外。如果你【rú guǒ nǐ】愿意的【yuàn yì de】🌚话【huà】，这种路由器【lù yóu qì】🐫还能够让好人【ràng hǎo rén】进入网络【luò】🚘。不过，没有恰🦁当设置的路由【de lù yóu】器🐫只是比【zhī shì bǐ】根本就没有安全措施稍微好一点。

在下列【zài xià liè】指南中，我们将研究一🐁下你可⛪以用来⌚保护网络安全【quán】的9个方便【gè fāng biàn】🦕的步骤。这些步【zhè xiē bù】骤能够保证你🔚拥有一道保护【dào bǎo hù】🎰你的网络的砖【luò de zhuān】墙，而不是【ér bú shì】一个敞【yī gè chǎng】开的大🆙门👒。

1.修改默认的口令

据国外调查显【diào chá xiǎn】🍈示，80%的网络🛑安全突破事件【pò shì jiàn】是由薄弱的口🗽令引起🆓的。网络上【wǎng luò shàng】有大多🛍数路由【shù lù yóu】器的广【qì de guǎng】🖲泛的默【fàn de mò】认口令列【kǒu lìng liè】表。你可以🐆肯定在【kěn dìng zài】某些地❤方的某个人会【gè rén huì】🤸知道你的生日🕝。SecurityStats.com网站维护一个详尽的可用/不可用【bú kě yòng】🌎口令列【kǒu lìng liè】表，以及一个口令【gè kǒu lìng】的可靠性测试。

2.关闭🍐IP直接广【zhí jiē guǎng】播（IPDirectedBroadcast）

你的♉服务器是很听话的♉。让它做【ràng tā zuò】什么它【shí me tā】就做什么，而且不【ér qiě bú】🌐管是谁发出的🎨指令【zhǐ lìng】💮。Smurf攻击【gōng jī】是一种拒【yī zhǒng jù】绝服务攻击【gōng jī】。在这种♈攻击【gōng jī】中，攻击【gōng jī】者使用假【shǐ yòng jiǎ】🥌冒的源😧地址向你的网🥑络广播地址发🌒送一个【sòng yī gè】“ICMPecho”请求【qǐng qiú】。这要求所有的【suǒ yǒu de】♉主机对这个广播请求【bō qǐng qiú】做出回☔应🦓。这种情况至少会降低⚓你的网🥑络性能【luò xìng néng】。

参考你的路由器信息【qì xìn xī】文件🐸，了解如何关闭【hé guān bì】👗IP直接广【zhí jiē guǎng】🖲播【bō】。例如，“Central（config）#noipsource-route”这个指🎭令将关闭思科【bì sī kē】路由器的IP直接广【zhí jiē guǎng】🖲播【bō】地址♉。

3.如果可能，关闭路由器的HTTP设置

正如思科的技【kē de jì】术说明中简要【zhōng jiǎn yào】🐉说明的那样，HTTP使用的身份识【shēn fèn shí】别协议🛏相当于【xiàng dāng yú】🥤向整个【xiàng zhěng gè】网络发送一个【sòng yī gè】未加密🔉的口令【de kǒu lìng】⏳。然而，遗憾的【yí hàn de】是👤，HTTP协议中🚇没有一个用于🔆验证口令或者一次性口令的【kǒu lìng de】有效规定⤴。

虽然这种未加【zhǒng wèi jiā】密的口【mì de kǒu】令🚛对于你【duì yú nǐ】从远程位置🎂（例如家💶里🕘）设置你【shè zhì nǐ】的路由器也许是非常【shì fēi cháng】方便的，但是，你能够⛓做到的事情其他人也【tā rén yě】照样可以做到【yǐ zuò dào】🚟。特别是【tè bié shì】如果你【rú guǒ nǐ】仍在使用【shǐ yòng】🗼默认的口令🚛!如果你【rú guǒ nǐ】必须远👯程管理路由器，你一定要确保✖使用【shǐ yòng】🗼SNMPv3以上版🥑本的协议📻，因为它【yīn wéi tā】支持更【zhī chí gèng】🥨严格的【yán gé de】口令🚛。

4.封锁ICMPping请求

ping的主要目的是识别目🖌前正在使用的主机。因此【yīn cǐ】📲，ping通常用🎛于更大【yú gèng dà】规模的协同性攻击之前的侦♐察活动【chá huó dòng】🍵。通过取【tōng guò qǔ】消远程【xiāo yuǎn chéng】用户接【yòng hù jiē】收ping请求的应答能力，你就更容易避😇开那些无人注意的扫【yì de sǎo】🤠描活动【miáo huó dòng】💋或者防💤御那些🧣寻找容易攻击【yì gōng jī】的目标【de mù biāo】的“脚本小【jiǎo běn xiǎo】子🕓”（scriptkiddies）。

请注意，这样做【zhè yàng zuò】实际上🕡并不能【bìng bú néng】🎨保护你🌳的网络不受攻击🏻，但是【dàn shì】💨，这将使【zhè jiāng shǐ】你不太可能成为一个【wéi yī gè】攻击🏻目标。

5.关闭IP源路由

IP协议允🍡许一台【xǔ yī tái】🥪主机指定数据【dìng shù jù】包通过你的网【nǐ de wǎng】络的路由😯，而不是【ér bú shì】♊允许网络组件确定最😍佳的路径。这个功【zhè gè gōng】能的合【néng de hé】🔌法的应✴用是用【yòng shì yòng】🚅于诊断连接故【lián jiē gù】障【zhàng】🎋。但是【dàn shì】，这种用途很少🕗应用【yīng yòng】。这项功🖇能最常用的用🌾途是为🌊了侦察📬目的对你的网【nǐ de wǎng】络进行镜像，或者用于攻击【yú gōng jī】者在你【zhě zài nǐ】的专用网络中寻找一个后门【gè hòu mén】。除非指【chú fēi zhǐ】定这项功🖇能只能用于💎诊断故👭障【zhàng】🎋，否则应该关闭这个功【zhè gè gōng】能。

6.确定你的数据包过滤的需求

封锁端【fēng suǒ duān】口有两项理由。其中之🗳一根据你对网【nǐ duì wǎng】🏹络安全【luò ān quán】水平的🚳要求对♑于你的网络是合适的【hé shì de】。

对于高度网络【dù wǎng luò】安全来说🛺，特别是【tè bié shì】🖍在存储【zài cún chǔ】🍭或者保持秘密数据的🥗时候【shí hòu】🐶，通常要🐁求经过🧠允许才可以过滤🍕。在这种规定中【guī dìng zhōng】，除了网路功能需要的🥗之外，所有的🥗端口【duān kǒu】🚨和【hé】IP地址都必要要封锁【fēng suǒ】。例如🔪，用于web通信的【tōng xìn de】🥗端口【duān kǒu】🚨80和【hé】用于SMTP的🥗110/25端口【duān kǒu】🚨允许来自🥜指定地址的【zhǐ de】🥗访问，而所有其它端【qí tā duān】口🚨和地址【hé dì zhǐ】都可【dōu kě】🏟以关闭。

大多数网络将【wǎng luò jiāng】通过使【tōng guò shǐ】用【yòng】“按拒绝💟请求实【qǐng qiú shí】🚲施过滤【shī guò lǜ】”的方案享受可以接受🚋的安全【de ān quán】📛水平。当使用【yòng】🍰这种过【zhè zhǒng guò】滤政策✍时，可以封📝锁你的网【nǐ de wǎng】络🔚没有使【méi yǒu shǐ】用【yòng】的端口和特【kǒu hé tè】洛伊木马🦌或者侦查活动【chá huó dòng】常用的【cháng yòng de】端口来增强你✳的网络🔚的安全【de ān quán】📛性【xìng】🚒。例如，封锁139端口和【hé】445（TCP和【hé】UDP）端口将🕌使黑客【shǐ hēi kè】更难对你的网【nǐ de wǎng】络🔚实施穷举攻击🌽。封锁31337（TCP和【hé】UDP）端口将🕌使BackOrifice木马程💱序更难攻击🌽你的网【nǐ de wǎng】络🔚。

这项工作应该【zuò yīng gāi】在网络规划阶段确定【duàn què dìng】，这时候🚫网络安全水平【quán shuǐ píng】的要求🏪应该符🕯合网络【hé wǎng luò】⚪用户的【yòng hù de】✏需求😸。查看这些端口的列表，了解这【le jiě zhè】些端口正常的用途。

7.建立准许进入和外出的地址过滤政策

在你的【nǐ de】🚵边界路【biān jiè lù】😑由器上🕐建立政策以便🎭根据【gēn jù】IP地址【dì zhǐ】✅过滤进出网络的【de】🚵违反安全规定🦏的【de】行为🌻。除了特【chú le tè】👔殊的不【shū de bú】🐟同寻常的【de】🚵案例之【àn lì zhī】外，所有试图从你🛩的【de】🚵网络内部访🍝问互联网【hù lián wǎng】的【de】🚵IP地址【dì zhǐ】✅都应该【dōu yīng gāi】有一个分配给【fèn pèi gěi】你的【nǐ de】🚵局域网的【de】🚵地址【dì zhǐ】✅。例如【lì rú】，192.168.0.1这个地🐯址✅也许通【yě xǔ tōng】过这个路由🚠器访问【qì fǎng wèn】互联网【hù lián wǎng】是合法【shì hé fǎ】的【de】🚵。但是，216.239.55.99这个地🐯址✅很可能是欺【shì qī】👪骗性的【de】🔘，并且是一场攻击的【de】🚵一部分。

相反，来自互联网外部的【de】通🤨信的【de】源👕地址应【dì zhǐ yīng】该不是【gāi bú shì】你的【de】内🦕部网络【bù wǎng luò】的【de】一部分🐊。因此，应该封【yīng gāi fēng】🤓锁入网的【de】192.168.X.X、172.16.X.X和【hé】10.X.X.X等地址😀。

最后，拥有源地址【zhǐ】🍶的【de】通信或🤐者保留的【de】和无🅾法路由【fǎ lù yóu】的【de】目标地址【zhǐ】🍶的所有【de suǒ yǒu】的【de】💩通信都应该允【yīng gāi yǔn】🔉许通过【xǔ tōng guò】⛱这台路由器【yóu qì】。这包括【zhè bāo kuò】回送地址【zhǐ】🍶127.0.0.1或者E类🛃（classE）地址【zhǐ】🍶段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

从网络嗅探的角度看，路由器比集线器更安全。这是因为路由【wéi lù yóu】器根据【qì gēn jù】IP地址智能化地路由数据🏹包【bāo】，而集线【ér jí xiàn】器相所【qì xiàng suǒ】有的节【yǒu de jiē】点播出数据🏹。如果连【rú guǒ lián】接到那【jiē dào nà】台集线⚡器的一🗒个系统🐄将其网😯络适配器置于【qì zhì yú】混乱的【hún luàn de】🏅模式，它们就能够接收和看到所有👼的广播，包括口【bāo kuò kǒu】📢令【lìng】📇、POP3通信和🐭Web通信🚹。

然后💇，重要的是确保【shì què bǎo】物理访【wù lǐ fǎng】问你的🔽网络设【wǎng luò shè】📲备是安全的，以防止未经允许的笔🔨记本电脑等嗅探设备【tàn shè bèi】放在你【fàng zài nǐ】👾的本地🉑子网中【zǐ wǎng zhōng】。

9.花时间审阅安全记录

审阅你的路由【de lù yóu】🥁器记录【qì jì lù】（通过其内置的防火墙🖨功能【gōng néng】🍶）是查出安全事件的最🤸有效👏的方法⛱，无论是查出正📉在实施🏀的攻击【gōng jī】🔖还是未来攻击【lái gōng jī】的征候都非常有效👏。利用出【lì yòng chū】网的记录，你还能【nǐ hái néng】够查出试图建立外部🍛连接的特洛伊【tè luò yī】木马程序【chéng xù】和间谍软件【dié ruǎn jiàn】🈵程序【chéng xù】。用心的【yòng xīn de】🍲网络安全管理🥍员在病毒传播者作出【zhě zuò chū】反应之前能够【qián néng gòu】🔱查出“红色代码【mǎ】🍝”和“Nimda”病毒的【bìng dú de】攻击【gōng jī】🔖。

路由器🙀一般情【yī bān qíng】况下【kuàng xià】🏖，位于你的网络的边缘【de biān yuán】，并且允【bìng qiě yǔn】👳许你看到进出你的网络全部通信的状况🤙。