随着企业局域网越来越普及，路由器已经成为各色企业正在使用之中的最重要的安全设备之一，通常来说，网络路由器一般处于防火墙的外部，负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在企业网络安全防线之外，如果路由器本身又未采取适当的安全防范策略，就可能成为攻击者发起攻击的一块跳板，对内部网络安全造成威胁。

　　针对路由器的安全情况，我们通常可以进行一些应对之策，诸如，合理配置路由器等网络设备，可以避免多数的对路由协议和远程配置端口的攻击；用专用的身份鉴别产品增强路由器等设备的登录安全性；使用双因素身份鉴别产品，这类产品采用一次性口令技术，并且在登录过程中要求相应的认证硬件参与，可以有效消除口令泄密的危险，同时可以通过收回或撤消令牌的办法明确地收回离职管理员的权限，同时，还应采用比较可行的手段预防DDOS攻击。

虽然，路由器安全问题实在是脆弱，黑客进攻手法日益翻新，让人防不胜防，但是这样的进攻其实是有道可寻的，下面我们就详细地为大家解析网络路由器常被攻击的手法内容和相应的对策：

     首先，我们常常遇到的网络路由器危机就是路由登陆口令的薄弱。据国外调查显示，80%的安全突破事件是由薄弱的口令引起的，网络上有大多数路由器的广泛的默认口令列表。黑客常常利用弱口令或默认口令进行攻击，加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令，用户应该启用路由器上的口令加密功能，这样即使黑客能够浏览系统的配置文件，他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书，在大多数路由器上，用户可以配置一些协议，如远程验证拨入用户服务，这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证，以此加强验证系统，双因素的前者是软件或硬件的令牌生成部分，后者则是用户身份和令牌通行码，其他验证解决方案涉及在安全外壳（SSH）或IPSec内传送安全证书。

　　其次，比较重要的是禁用你不必要服务，比如关闭IP直接广播。路由器除了可以提供路径选择外，它还是一台服务器，可以提供一些有用的服务。路由器运行的这些服务可能会成为敌人攻击的突破口，为了安全起见，最好关闭这些服务。你的服务器是很听话的，让它做什么它就做什么，而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击，在这种攻击中，攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求，这要求所有的主机对这个广播请求做出回应，这种情况至少会降低你的网络性能。

    需要注意的是，禁用路由器上的CDP可能会影响路由器的性能，另一个需要用户考虑的因素是定时，定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步，用户可以利用名为网络时间协议（NTP）的服务，对照有效准确的时间源以确保网络上的设备时针同步。不过，确保网络设备时钟同步的非常好的方式不是通过路由器，而是在防火墙保护的非军事区（DMZ）的网络区段放一台NTP服务器，将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上，用户很少需要运行其他服务，如SNMP和DHCP，只有绝对必要的时候才使用这些服务。