路由器安全措施中有哪些网络技术

一个好的路由器本身会采取良好的路由器安全机制来保护自己，但这远远不够，路由器安全的保护也要求网络管理者在路由器的配置和管理过程中采取相应的路由器安全措施。
黑客利用路由器的漏洞攻击通常是容易的。路由器攻击浪费CPU周期，误导信息流量，使网络陷于瘫痪。一个好的路由器本身会好好的路由器的安全机制来保护自己，但这是远远不够的。路由器安全防护也需要网络管理人员在配置和管理路由器过程中采取相应的路由器的安全措施。
堵住安全漏洞
限制系统物理访问是保证路由器安全的最有效途径。限制系统物理访问的一种方法是配置控制台和终端会话的一个短暂的空闲时间后自动退出系统。这也是为了避免连接调制解调器的路由器辅助端口重要。一旦路由器的物理访问限制，用户必须保证路由器的安全补丁是最新的漏洞往往是之前所披露的供应商问题的补丁，使黑客利用受影响的系统供应商之前发行的补丁，这需要用户的关注。
避免身份危机
黑客常常利用弱口令或默认密码攻击。措施如加长密码并选择30到60天的口令，有助于防止这种漏洞。此外，一旦重要的IT员工辞职，用户应该立即更换密码，用户应在路由器上启用密码加密，这样即使黑客可以浏览系统的配置文件，他仍然需要破译的密码，这样路由器传输证书安全地实施合理的验证控制。大多数路由器，用户可以配置一些协议，如远程认证拨入用户服务的，所以，这些协议可以结合认证服务器提供加密ED和验证的路由器访问控制，验证了用户的身份验证请求的验证服务器通常在后端网络，认证服务器还可以要求用户使用双因素验证加强认证系统。前者是软件或硬件令牌生成的一部分，后者是用户身份和令牌密码。其他验证解决方案涉及在路由器发送安全证书的安全Shell（SSH）或IPSec。
禁用不必要的服务
有大量的路由服务是一件好事，但近来许多路由器安全事件强调了禁用本地服务的重要性。需要注意的是，在路由器上禁用CDP可能会影响路由器性能的重要因素。另一个需要被用户认为是时机。时机到网络的有效运行的关键。即使用户保证部署的时间同步，时钟仍然可以使用一段时间后失去同步。用户可以使用服务命名的网络时间协议（NTP）来确保网络装置顺时针同步是保证对一个有效和准确的时间源。然而，为了保证时钟同步的最佳方式网络设备等不到路由器，但在受防火墙保护的DMZ网络部分设置一个NTP服务器，其被配置为允许的时间要求，只有受信任的公共时间源外，在路由器上，用户很少需要运行其他服务，如SNMP和DHCP。它是只有在绝对必要的情况下使用这些服务。
限制逻辑访问
限制逻辑访问主要是基于访问控制列表的合理处置，限制远程终端会话可以帮助防止黑客获得系统的逻辑access.ssh是优先的逻辑访问方法，但如果telnet是无法避免的，它可能会使用终端访问控制来限制访问受信任的主机，因此，用户需要添加一个访问列表的虚拟端口，远程登录使用的路由器。
控制消息协议（ICMP）有助于诊断，但也提供信息的攻击者浏览网络设备，确定本地时间戳和网络掩码，并假定信息对操作系统的修改。为了防止黑客搜集上述信息，只允许以下类型的ICMP流量进入网络的用户：通过网络到达，由主机、遥不可及遥不可及的港口，太大的包，源的抑制和TTL。此外，逻辑访问控制也应该禁止所有的交通超越ICMP流量。
使用入站访问控制来启动一个特定服务的相应的服务器，例如，只允许输入SMTP邮件服务器；DNS流量到DSN服务器；HTTP流量（HTTP / S）进入Web服务器通过路由器的安全套层协议（SSL）的目的。为了避免路由器成为DoS攻击的目标，用户应该拒绝进入以下交通：没有IP地址的包，本地主机地址、广播地址、多播地址和任何虚假的内部地址的包。虽然用户不能阻止DoS攻击，用户可以限制DOS的危害。用户可以采取的保护路由器的TCP SYN攻击增加的SYN ACK队列长度，缩短应答时间的措施出。
用户也可以使用出站访问控制来限制来自网络的流量，这种控制可以防止内部主机发送ICMP流量，只允许有效的源地址包离开网络，这有助于防止IP地址欺骗，并减少黑客使用用户系统攻击另一个站点的可能性。
监控配置更改
改变路由器的配置后，用户需要监控。如果用户使用SNMP，那么有必要选择一个强大的公共字符串，最好是一个SNMP提供消息加密。如果设备没有配置远程通过SNMP管理，最好是为用户配置的SNMP设备read-only.refusing来写访问这些设备，用户可以防止黑客更改或关闭接口。此外，用户还需要从路由器的系统日志消息发送到指定的服务器。
为了进一步确保路由器的安全管理，用户可以使用SSH和其他加密机制利用SSH和路由器构建加密的远程会话，为了加强保护，用户还应限制SSH会话协商，只允许会话与用户经常使用的几个可信系统通信。
配置管理的一个重要组成部分，是保证网络使用一个合适的路由协议，避免使用路由信息协议（RIP），RIP是容易被骗接受非法的路由更新，用户可以配置协议，如边界网关协议（BGP）和开放最短路径优先协议（OSPF），所以这个密码可以通过发送密码的MD5哈希之前收到的路由更新验证。上述措施有助于确保任何路由更新被系统接受的是正确的。
实施配置管理
用户应该实施配置管理政策，存储，检索和更新路由器的配置，并将备份文件存储在安全的服务器来防止用户更换，重新安装或恢复到原来的配置时，新的配置遇到的问题。
用户可以在支持命令行接口的路由器平台存储配置文件（CLI）通过两种方法：一种是运行脚本，脚本可以配置服务器建立SSH会话，路由器的登录系统，登录了控制器的功能，显示配置，保存配置到本地文件退出系统；另一种方法是在IPSec隧道配置服务器之间建立路由器的配置文件复制到服务器通过TFTP安全隧道。用户也应该清楚哪些人可以改变路由器的配置，当做出改变，如何改变之前的任何变化。，制定一个详细的逆序操作程序。