如果可能，关闭路由器的HTTP设置。HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令，然而，遗憾的是，HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。虽然这种未加密的口令对于你从远程位置（例如家里）设置你的路由器也许是非常方便的，但是，你能够做到的事情其他人也照样可以做到，特别是如果你仍在使用默认的口令，如果你必须远程管理路由器，你一定要确保使用SNMPv3以上版本的协议，因为它支持更严格的口令。

　　第三，通常非法访问者对内部网络发起攻击前，往往会用ping或其他命令探测网络，所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。ping的主要目的是识别目前正在使用的主机，因此，ping通常用于更大规模的协同性攻击之前的侦察活动，通过取消远程用户接收ping请求的应答能力，你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”（script kiddies），这样做实际上并不能保护你的网络不受攻击，但是，这将使你不太可能成为一个攻击目标。

　　我们可建立如下访问列表:

　access-list 102 deny icmp any any echo
　　! 阻止用ping探测网络。
　　access-list 102 deny icmp any any time-exceeded
　　! 阻止用traceroute探测网络。

　　第四，对端口的严格控制。关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口。对这些端口的访问应该加以限制，否则这些设备就很容易受到攻击。对于高度安全的网络来说，特别是在存储或者保持秘密数据的时候，通常要求经过允许才可以过滤。在这种规定中，除了网路功能需要的之外，所有的端口和IP地址都必要要封锁。例如，用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问，而所有其它端口和地址都可以关闭。
　　
　　大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时，可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如，封锁139端口和445（TCP和UDP）端口将使黑客更难对你的网络实施穷举攻击。封锁31337（TCP和UDP）端口将使Back Orifice木马程序更难攻击你的网络。这项工作应该在网络规划阶段确定，这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表，了解这些端口正常的用途。

　　而阻止对关键端口的非法访问可以建立如下访问列表：

　　access-list 101 deny tcp any any eq 135
　　access-list 101 deny tcp any any eq 137
　　access-list 101 deny tcp any any eq 138
　　access-list 101 deny tcp any any eq 139
　　access-list 101 deny udp any any eq 135
　　access-list 101 deny udp any any eq 137
　　access-list 101 deny udp any any eq 138
　　access-list 101 deny udp any any eq 139

　　第五，可以建立准许进入和外出的地址过滤政策。除了特殊的不同寻常的案例之外，所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址，例如，192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是，216.239.55.99这个地址很可能是欺骗性的，并且是一场攻击的一部分。相反，来自互联网外部的通信的源地址应该不是你的内部网络的一部分，因此，应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。最后，拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器，这包括回送地址127.0.0.1或者E类（class E）地址段240.0.0.0-254.255.255.255。

为了防止外部IP地址欺骗，针对此类问题我们则可建立如下访问列表：

　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any
　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any
　　access-list 101 deny ip 172.16.0.0 0.0.255.255 any
　　! 阻止源地址为私有地址的所有通信流。
　　access-list 101 deny ip 127.0.0.0 0.255.255.255 any
　　! 阻止源地址为回环地址的所有通信流。
　　access-list 101 deny ip 224.0.0.0 7.255.255.255 any
　　! 阻止源地址为多目的地址的所有通信流。
　　access-list 101 deny ip host 0.0.0.0 any
　　! 阻止没有列出源地址的通信流。

　　第六，我们还要保持路由器的物理安全。从网络嗅探的角度看，路由器比集线器更安全，这是因为路由器根据IP地址智能化地路由数据包，而集线器向所有的节点播出数据，如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式，它们就能够接收和看到所有的广播，包括口令、POP3通信和Web通信。然后，重要的是确保物理访问你的网络设备是安全的，以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

第七，尽可能及时堵住安全漏洞。限制系统物理访问是确保路由器安全的最有效方法之一，限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的，漏洞常常是在供应商发行补丁之前被披露，这就使得黑客抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。