路由器作为互联网上重要的地址信息路由设备.直接暴露于网络之中。攻击路由器可导致浪费CPU周期.误导倍息流盆.使网络陷于雌疾。路由器面临的威胁有.将路由器作为攻击平台:人任者利用不安全的路由器作为生成对其他站点扫描或侦察的平台。
　　.拒绝服务:尽管路由器192.268.0.1在设计上可以传送大皿的数据流.但是它同样传送大于它传油能力的流最。人仅者利用这种特性攻击连接到网络上的路由器，而不是直接攻击网络上的系统.从而造成对路由器的拒绝服务攻击。
　　.明文传输配Y信息:许多网络管理员未关闭或加密Telnel会话.因此若明文传输的密码被截取，燕客就可以任意配t路由器。好的路由器本身会采取一个较完善的安全机制来保护自己.但是仅此一点是远远不够的。保护路由器192.168.1.1安全还需要网管员在配且和份理路由器过程中采取相应的安全措施。
　　.限制系统物理访问:限制系统物理访问是确保路由器安全的最有效方法之一，即将控制白和终端会话配里成在较短闲里时间后自动退出系统:遭免将调制解调器连接至路由器的辅助端口也很，要。一旦限制了路由器的物理访问.用户一定要确保路由器的安全补丁是最新的。因为翻润常常是在供应商发行补了之前被披协，这就使得黑客可以抢在供应商发行补丁之肋利用受影响的系统，这需要引起用户的关注。
　　.加强密码安全:黑客常常利用弱口令或歇认密码进行攻击。加长密码，选用30天到60天的密码有效期等措施有助于防止这类漏润。另外，一且重要的网管员工辞职.用户应该立即更换密码。用户应该启用路由器上的密码加密功能，实施合理的毅证控制以便路由器安全地传愉数据。
　　.应用身份验证功能:在大多数路由器上.用户可以配I-些加密和认证协议，如远程脸证拨人用户服务。验证控制可以将用户的脸证请求转发给通常在后端网络上的验证服务器，脸证服务器还可以要求用户使用双因素验证，以此加强验证系统。
　　.禁用不必要服务:拥有众多路由服务是件好事，但近来许多安全事件都凸显了禁用不要本地服务的重要性.如禁止CDP服务;需要注意的是，禁用路由器上的CDP可能会影响路由器的性能。定时对有效操作网络是必不可少的，即使用户确保部署期间时间同步.经过一段时间后，时钟仍有可能逐渐失去同步。由此.用户可以利用名为网络时间协议(IPIY)的服务.对照有效准确的时间源以确保网络上的设备时针同步;不过，确保网络设备时钟同步的最佳方式不是通过路由器.而是在防火墙保护的网络区段放一台M下服务器，将该服务器配置成仅允许向外面的可倍公共时间源提出时间请求。另外，在路由器上，对于S11MP,DHCP以及Web管理服务等.只有绝对必耍的时候才可使用这
　　些服务。
　　.限制逻辑访问:限制逻辑访rri主要是借助于合理处置访问控制列表，限制远程终端会话有助于防止黑客获得系统逻辑访问。其中SSH是优先的逻辑访问方法.还可以使用终端访问挖制，以限制只能访问可信主机。因此.用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访间控制列表。
　　.使用有限ICNP消息类塑:控初消息协议(1CMP)有助于排除故障.但也为攻击者提供用来浏览网络设备、确定本地时间戮和网络掩码以及对Os修正版本做出推侧的信息。因此，为了防止黑客搜集上述信息.只允许以下类型的ICMI'流量进人用户网络:主机无法到达的、端口无法到达的、谭抑制以及超出生存时间(TM)。此外.还应票止.口4P流量以外的所有流丝，以防止拒绝服务攻击。
　　.控制有限流盆进人网络:为了避免路由器成为。fi攻击目标.用户应该拒绝以下流最进人:没有IP地址的包，采用本地土机地址、广播地址、多播地址以及任何极甘的内部地址的包。虽然用户无法杜绝DoS攻击，但用户可以限制DoS的危害;另外.用户还可以采取增加SYNACK队列长度、缩短ACK超时等措施来保护路由器免受TCPSYN的攻击。.安全使用SNMP/7#LNEr:如果用户使用S、P，那么一定要选择功能强大的共用字符串.最好使用提供消息加密功能的SNMPV3。如果不通过SNMP管理对设备进行远程配置，用户最好将SYMP设备配I成只读;拒绝对这些设备进行写操作.以防止黑客改动或关闭接口。为进一步确保安全管理.用户可以使用SSH等加密机制.利用SSH与路由器建立加密的远程会话;为了加强保护，用户还应该限制SSH会话协商，只允许会话用于与用户经常使用的几个可信系统进行通信。