腾达路由器的设置中有什么注意点

路由器

一、路由器同电脑及其他网络设备一样，自身也存在一些缺陷和漏洞。利用路由器自身缺点进行网络攻击，是黑客常用的手段。因此，我们必须在堵住路由器安全漏洞上采取必要的措施。限制系统物理访问是最有效的方法之一，它是将控制台和终端会话路由器配置成在较短闲置时间后，自动退出系统，以堵住路由器的安全漏洞，保护整个网络的安全。

二、攻击者常常利用弱口令或默认口令进行攻击，使用复杂的口令有助于防御这类攻击，还应启用路由器的口令加密功能配置一些协议，如远程验证拨入用户服务，结合验证服务器提供经过加密、验证的路由器访问，以加强路由器的安全系数，提高整个网络的安全性。

三、限制逻辑访问，主要是借助于合理处置访问控制列表，限制远程终端会话，有助于防止黑客获得系统逻辑访问，SSH是优先的逻辑访问方法，如果一定要使用TELNET，不妨使用终端访问控制，以限制只能访问可信主机。

电脑

四、控制消息协议ICMP有助于排除故障，但也为攻击者提供了用来浏览网络设备、确定时间戳和网络掩码以及对OS修正版本作出推测的信息，为了防止入侵者搜集上述信息，我们可以设定ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间的。

五、使用入站访问控制，可将特定服务器引导至对应的服务器，为了避免路由器成为DoS攻击目标，应拒绝没有IP地址的包，采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包，还可以采取增加SYM ACK队列长度、缩短ACK超时等措施，来保护路由器免受TCP SYN攻击。

六、在对路由器配置进行改动时，需要对其进行监控。如果使用了SNMP，则一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的SNMP，如果不通过SNMP管理而对设备进行远程路由器配置，最好将SNMP设备路由器配置成只读，拒绝对这些设备进行写访问，利用SSH与路由器建立加密的远程会话。

最后要说一下，配置管理的一个重要部分，就是确保网络使用合理的路由器协议，避免使用路由信息协议，因为RIP很容易被欺骗而接受不合法的路由更新，所以必须实施控制存放、检索及更新路由器配置，以便在新配置出现问题时能更换、重装或恢复到原先的路由器配置。