轻松阻止黑客接管企业路由器

　　通过以上设置，路由器远程管理的安全性大大增强了，但面对网络中无时无刻都在涌现的病毒和木马，攻击者同样有办法控制路由器。因此，利用路由器内置的“防火墙”为路由器的远程控制安全加上“双保险”，就可以极大地提高路由器的安全性。

　　在宽带路由器管理界面中，依次点击“安全设置→防火墙设置”，在右侧的设置框中选中“开启防火墙”选项，点击“保存”按钮后启用路由器的防火墙功能。接着点击“高级安全设置”，进入“高级安全设置”页面。这里提供了一些更具体的安全防御功能，如防御DoS攻击、ICMP-FLOOD攻击过滤和TCP-SYN-FLOOD攻击过滤等。启用这些功能，就可以进一步增强路由器的防御能力。 (图3)

    
    四、其他安全措施

　　升级：更新路由器操作系统，就像网络操作系统一样，路由器操作系统也需要更新，以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向路由器厂商查询或者登录他们的网站下载更新当前的路由器系统的版本。

　　禁用：关闭telnet命令登录，在大多数情况下，并不需要来自互联网接口的主动的telnet会话，如果开启了Web登录方式完全可以关闭该登录方式，减少被黑客攻击的可能性。禁用IP定向广播，IP定向广播使得攻击者对路由器实施拒绝服务攻击。因此要禁用，避免当攻击者不能登录路由器而采取DDOS攻击，因为一台路由器的内存和CPU难以承受太多的请求，这种结果会导致缓存溢出，从而路由器沦陷。同样的也要禁用IP路由和IP重新定向，因为重定向允许数据包从一个接口进来然后从另一个接口出去，攻击者可以把精心设计的数据包重新定向到专用的内部网路，危害内部网络的安全。

　　过滤:包过滤技术仅传递管理员允许进入企业局域网的那种数据包，一般的公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。因此，其余的端口都可以禁止。此外，管理员还通过IP地址进行过滤，设置封锁和允许IP地址的范围。

　　审查:网络管理员可以通过查看分析某一时段的记录文件，以便及时发现攻击并判断采用的攻击方式，从而亡羊补牢，把损失减到最少。另外一定要重新设置路由器的日志管理密码，这是事后安全检测的重要信息。黑客在攻击后一般都要删除日志文件，设置健壮的密码后，从而保存黑客入侵的“罪证”，在一定的程度上对黑客起到威慑效果。

　　总结：笔者在写文章之前随意对某些IP端进行扫描，发现开启路由器远程管理的IP很多，测试中发现有不少路由器没有更改默认的用户名和密码，可以登录进去。因此，一定要做好路由器的安全设置，这可是企业网络安全的第一道防线，千万不能让其被入侵者非法接管。

上一页  [1] [2] 

【责编:Zenghui】