怎么配置cisco路由器防止網(wǎng)絡(luò)黑客入侵

　　思科cisco依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解，使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一，其出產(chǎn)的路由設(shè)備也是世界一流，那么你知道怎么配置cisco路由器防止網(wǎng)絡(luò)黑客入侵嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于怎么配置cisco路由器防止網(wǎng)絡(luò)黑客入侵的相關(guān)資料，供你參考。

　　對(duì)于通常的網(wǎng)絡(luò)來(lái)說(shuō)，路由器將是保護(hù)內(nèi)部網(wǎng)的第一道關(guān)口，因此在網(wǎng)絡(luò)安全管理上，必須對(duì)路由器進(jìn)行合理規(guī)劃、配置，采取必要的安全保護(hù)措施，避免因路由器自身的安全問(wèn)題而給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來(lái)漏洞和風(fēng)險(xiǎn)。

　　配置cisco路由器防止網(wǎng)絡(luò)黑客入侵的方法1、保護(hù)路由器口令

　　假設(shè)一個(gè)分公司在郊區(qū)設(shè)立了營(yíng)銷網(wǎng)點(diǎn)，營(yíng)銷網(wǎng)點(diǎn)的員工使用寬帶路由器共享上網(wǎng)，和公司總部保持聯(lián)系。如果出現(xiàn)了問(wèn)題，管理員需要坐兩個(gè)多小時(shí)的車到營(yíng)銷網(wǎng)點(diǎn)對(duì)寬帶路由器進(jìn)行維護(hù)，非常疲憊。不過(guò)，他想到了啟用寬帶路由器的“遠(yuǎn)程控制”功能，在總部對(duì)路由器進(jìn)行遠(yuǎn)程維護(hù)。然而，安全問(wèn)題開(kāi)始困擾他，在方便自己的同時(shí)，這也方便了那些“不懷好意”者，一旦他們得到路由器的管理員賬號(hào)，就能進(jìn)行各種破壞活動(dòng)，后果是不堪設(shè)想的。那么，如何才能增強(qiáng)遠(yuǎn)程控制的安全呢?

　　可見(jiàn)帳戶和密碼是路由器的第一道安全防線，要想對(duì)寬帶路由器進(jìn)行管理，首先必須擁有路由器的管理員賬號(hào)。但默認(rèn)情況下，路由器的初始賬號(hào)和密碼都比較簡(jiǎn)單，特別是啟用了路由器的遠(yuǎn)程控制功能后，公網(wǎng)中的其他用戶就有機(jī)會(huì)訪問(wèn)到路由器。如果不對(duì)路由器的初始賬號(hào)進(jìn)行修改，使它變得更為復(fù)雜，讓不懷好意者難以猜測(cè)和破解，那么路由器就可能被他人利用。一旦密碼泄漏，網(wǎng)絡(luò)也就毫無(wú)安全可言。

　　配置cisco路由器防止網(wǎng)絡(luò)黑客入侵的方法2、開(kāi)啟路由器防火墻

　　路由器遠(yuǎn)程管理的安全性大大增強(qiáng)了，但面對(duì)網(wǎng)絡(luò)中無(wú)時(shí)無(wú)刻都在涌現(xiàn)的病毒和黑客攻擊，為了更好地利用路由器內(nèi)置的“防火墻”為路由器的遠(yuǎn)程控制安全加上“雙保險(xiǎn)”。在寬帶路由器管理界面中，依次點(diǎn)擊“安全設(shè)置→防火墻設(shè)置”，在右側(cè)的設(shè)置框中選中“開(kāi)啟防火墻”選項(xiàng)，點(diǎn)擊“保存”按鈕后啟用路由器的防火墻功能。接著點(diǎn)擊“高級(jí)安全設(shè)置”，進(jìn)入“高級(jí)安全設(shè)置”頁(yè)面。這里提供了一些更具體的安全防御功能，如防御DoS攻擊、ICMP-FLOOD攻擊過(guò)濾和TCP-SYN-FLOOD攻擊過(guò)濾等。

　　配置cisco路由器防止網(wǎng)絡(luò)黑客入侵的方法3、設(shè)置隱蔽的端口、特定的IP及關(guān)閉

　　為寬帶路由器設(shè)置了復(fù)雜的訪問(wèn)賬號(hào)，但這只是為遠(yuǎn)程安全管理路由器打下了好的基礎(chǔ)。然而，很多路由器默認(rèn)是沒(méi)有啟用“遠(yuǎn)程控制”功能的，因此還要手工啟用，而且在啟用過(guò)程中還有很多增強(qiáng)安全的技巧和方法。在寬帶路由器管理界面中，依次點(diǎn)擊“安全設(shè)置→遠(yuǎn)端Web管理”，進(jìn)入“遠(yuǎn)端Web管理”設(shè)置界面。接下來(lái)就可啟用遠(yuǎn)程控制功能。默認(rèn)情況下，路由器使用“80”端口來(lái)提供遠(yuǎn)程管理功能，但這非常不安全，容易被攻擊者猜到。因此，可修改端口號(hào)，使用一個(gè)不常用的端口來(lái)提供遠(yuǎn)程管理功能，在“Web管理端口”欄中修改遠(yuǎn)程管理使用的端口號(hào)(如“8081”)。現(xiàn)在，攻擊者就很難猜到端口號(hào)了。接下來(lái)，在“遠(yuǎn)端Web管理IP地址”欄中，輸入可對(duì)路由器進(jìn)行遠(yuǎn)程控制的公網(wǎng)計(jì)算機(jī)的IP地址。最安全的做法是允許某個(gè)使用特定IP地址的機(jī)器遠(yuǎn)程登錄路由器，將該參數(shù)設(shè)置為管理員在總部使用的IP地址(如“10.254.*.*”)?，F(xiàn)在只有該IP的主機(jī)能在公司總部的機(jī)器上遠(yuǎn)程登錄路由器，而其他公網(wǎng)機(jī)器則不行。

　　關(guān)閉telnet命令登錄，在大多數(shù)情況下，并不需要來(lái)自互聯(lián)網(wǎng)接口的主動(dòng)的telnet會(huì)話，如果開(kāi)啟了Web登錄方式完全可以關(guān)閉該登錄方式，減少被黑客攻擊的可能性。禁用IP定向廣播，IP定向廣播使得攻擊者對(duì)路由器實(shí)施拒絕服務(wù)攻擊。因此要禁用，避免當(dāng)攻擊者不能登錄路由器而采取DDOS攻擊，因?yàn)橐慌_(tái)路由器的內(nèi)存和CPU難以承受太多的請(qǐng)求，這種結(jié)果會(huì)導(dǎo)致緩存溢出，從而路由器淪陷。同樣的也要禁用IP路由和IP重新定向，因?yàn)橹囟ㄏ蛟试S數(shù)據(jù)包從一個(gè)接口進(jìn)來(lái)然后從另一個(gè)接口出去，攻擊者可以把精心設(shè)計(jì)的數(shù)據(jù)包重新定向到專用的內(nèi)部網(wǎng)路，危害內(nèi)部網(wǎng)絡(luò)的安全。