一、路由器同電腦及其他網（wǎng）絡設備一（yī）樣，自身也存在一些缺陷和漏（lòu）洞。利用路由器自身缺點進行（háng）網絡攻擊，是黑客（kè）常（cháng）用（yòng）的手段（duàn）。因此，我們必須在堵住路由器安全漏洞上采取必要的措施。限製係統物（wù）理訪問是最有效的（de）方法之（zhī）一，它是將控製（zhì）台和終端（duān）會話（huà）路由器（qì）配置成在較短閑置時間後，自動（dòng）退出係（xì）統，以堵住路由器的安全漏洞，保護（hù）整個網絡的（de）安全。

二、攻擊者常常利用弱（ruò）口（kǒu）令或默認口（kǒu）令進行攻擊，使用複雜的口令有助於（yú）防禦這類攻擊，還應啟用路（lù）由（yóu）器的口（kǒu）令加密功能配置一些協（xié）議，如遠程驗（yàn）證撥入用戶服務，結合驗證服務器提供經過加密、驗證的路由器訪問，以加強路由器的安全係數，提高整個網絡的安（ān）全性。

三、限製邏輯訪問，主要是借助於合理處置訪問控製列表，限製遠程終端會話，有助於防止黑客獲（huò）得係統邏輯訪問，SSH是優先的邏輯（jí）訪問方法，如果（guǒ）一定要（yào）使用TELNET，不妨使（shǐ）用終端訪問控（kòng）製，以限製隻能訪問可信主機。

四、控製消息協議ICMP有助於排除故障，但也為攻擊者提供了用來瀏覽網絡設備、確定時（shí）間（jiān）戳和網絡掩碼（mǎ）以及對OS修正版本作出推測（cè）的信息，為了防止入侵者（zhě）搜集上述信息，我們可以設定ICMP網（wǎng）無法（fǎ）到達的、主機無法到達的、端口無法到達的、包太大的、源抑製的以及超出生存時間的。

五、使用入站（zhàn）訪問控製，可將特定服務器引導至對（duì）應的服務器，為了避免路由器成為（wéi）DoS攻擊目標，應拒絕沒有IP地（dì）址的包，采用本地主機地址、廣播地址、多播地（dì）址以及任何假冒的內部地址的包，還可以采取增加SYM ACK隊列長度、縮短ACK超時等措（cuò）施（shī），來保護路由器免受TCP SYN攻擊。

六、在對路（lù）由器配置進行改動時，需要對（duì）其進行監控。如果使用（yòng）了（le）SNMP，則一定要選擇功能強（qiáng）大的共用字符串，最（zuì）好是使用提供消（xiāo）息加密功能的SNMP，如果不通過SNMP管理而對設備進行遠程路（lù）由器配置，最好將SNMP設備路由器配置成隻讀，拒絕對這些設備進（jìn）行寫訪問，利用SSH與路由器（qì）建立加密（mì）的遠程會話。

最後要說一下，配置管（guǎn）理（lǐ）的一個重（chóng）要部分，就是確保網絡（luò）使用合理的路由器協議，避免（miǎn）使用路由信息協議，因為RIP很容易被欺騙而接受不合法的路由更新，所（suǒ）以必須（xū）實施控製存放、檢索及更新路由器配置，以便在新配置出現問題時能更換、重裝（zhuāng）或（huò）恢複到原先的路由器配（pèi）置。