如何让路由器更安全

本篇文章给大家谈谈路由器如何保护内网安全，以及如何让路由器更安全对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

1、路由器的安全保护措施有哪些

2、路由器怎样设置才安全

3、路由器保护内网安全的步骤

4、无线路由器安全设置方法

路由器的安全保护措施有哪些

大家都对路由器有一定的了解，接下来我给大家介绍路由器的安全保护 措施 。希望能帮到大家。

一、现在我们可以很容易的通过网络找到各种路由器的默认密码，所以采用默认密码的网络是非常不安全的，我们在修改密码时还要使用强大的密码，不能是字典上的单词，至少要八位长度，包括大写和小写字母和数字。还有，确保在不同的系统上使用不同的密码。如果在网络上使用相同的密码，它就会受到攻击。

二、至于加密连接，只能使用SSH等协议，它可以创建安全的路由器连接。Telnet和TFTP等协议和服务都没有加密，所以很容易受到攻击。路由器上不好的一点是可以允许用户ID和密码的明文传送，而且可以很容易就被探测到。

三、FAST路由器的IOS在配置文件中有两种 方法 加密密码，而这些配置文件是存储在路由器上的，FAST可以以三种方法在配置文件中存储密码：铭文、Vignere加密和MD5哈希算法。Vignere是比MD5稍弱的一种加密算法，而和MD5不同的它是可逆的，也就是说它可以被解除。

四、FAST路由器由三种加密密码的命令：服务密码加密、激活密码和激活秘密。第一种方法使用Vignere加密，而另两种使用MD5哈希加密。激活秘密命令是FAST路由器中的一种较新的功能，比激活密码还要强大一些，激活密码命令只能保持向后的兼容性，而服务密码加密，虽然较弱，但是有些旧的网络协议仍然需要它的兼容性。

五、这些命令还可以允许密码在不同的访问权限级别中设置和加密，这取决于管理员分派给员工的权限，路由器密码如果有可能可以使用FAST加密命令来保护，同时还要坚持SSH或者其他的加密连接。

保护一个路由器的密码安全就是以上的办法了，相信大家在看完后已经知道怎样去做了，有需要的网友可以自己动手设置一下了，以免自己的网络受到不非分子的入侵，给自己造成损失。

路由器怎样设置才安全

路由器(Router)，是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。 那么路由器怎样设置才安全?

一、路由器基本安全设置

无线路由器基本安全设置主要包括以下几个方面：

1、如果路由器默认后台设置登陆账户与密码还是admin的话，请立即更改路由器默认用户名和密码;

帮助链接：【路由器admin密码怎么改 路由器默认密码修改 方法 】

2、路由器无线安全设置请选择最高级别的WPA2加密方式;

3、无线Wifi密码请设置的尽量复杂一些，建议是数字、字母和符号的混合组合，密码长度最好大于8位数，例如：【m.pc841.com@084615@26】这样的复杂长度密码，一般的蹭网卡都很慢解除;

知识链：【如何防止蹭网 防止蹭网 方法大全 】

4、不要将无线路由器的Wifi密码告诉陌生不可信的人;

5、移动设备(智能手机.平板)不要最好不要预约或者越ROOT，ROOT或者越狱后的设备尽量不要连接陌生不可信的Wifi网络;

注：此条主要防止黑客入侵您的移动设备，被安装一些后门程序，然后移动设备连接家中的Wifi网络，就容易遭黑客窃取路由信息。

路由器

二、无线路由器高级安全设置

1、开启Mac白名单功能

在路由器众多防护机制中，MAC地址白名单绝对是路由器的高级安全功能之一，不过是几十元还是几百甚至上千元的无线路由器，绝大多数产都具有Mac白名单功能，这个功能最大的亮点在于，开启后，可以将路由器和电脑或者移动设备的mac地址绑定，实现一对一授权访问。

开启此功能后，仅限绑定的用户访问网络，其他未绑定用户，即便获取到了Wifi密码，也会因为没有授权而无法访问网络，可以很程度的保障路由器安全。

2、AP隔离

开启Mac白名单后，新的陌生设备如何获取到了wifi密码，就可以在内网乱逛，尽管无法访问互联网，但这样也可能存在风险，比如黑客高手可以监听路由内网信息。通过开启路由AP隔离则可以解决Mac绑定不足的问题。

有它在，连入局域网的设备间都是隔离的，数据不互通。这时的陌生设备技艺再高超也没法来监听你上网的数据了。不过它也有缺点，比如导致局域网软件基本没法使用。包括QQ的局域网速传、飞鸽传书等一大票功能都要废掉，目前还不确定局域网游戏对战、文件共享(SMB)这些功能是否能用，但目测可能性不大。

AP隔离算是稍微高级的功能，百元以上的传统路由基本支持，不过一些价格过低的路由器可能无此功能。

3、开启路由器防DDOS和端口控制功能

目前多数路由器高级设置中，都有防DDOS功能，默认该功能并未开启，不过这个模块很重要，如果路由被DDOS，整个网速会下降的很厉害。防DDOS，就是保证路由遭受时用户不受影响。

同样的，端口也是路由器高级安全设置中的一个功能，普通路由上一般可能会开放80(远程访问)、23(SSH)以及某些随机端口(厂商测试用)，不过按照安全准则，还是尽量不开设端口。前不久某T大厂由于在稳定版固件中未关闭测试端口，结果成了安全界大笑话。

路由器怎么设置才安全?结合以上路由器基本安全设置和高级安全设置，对于普通用户来说，绝对可以保证高达99.9%路由器安全，对于多数对安全要求不是很高的家庭或者个人用户来说，将基本安全做好，就可以很好的保障路由器安全，如果是企业或者一些对数据安全要求比较高的地方，可以将高级安全也做上，确保路由器99.9%近乎绝对的安全。

路由器保护内网安全的步骤

导语：对于大多数企业局域网来说，路由器已经成为正在使用之中的最重要的安全设备之一。一般来说，大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。以下是我整理路由器保护内网安全的步骤的资料，欢迎阅读参考。

经过恰当的设置，边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话，这种路由器还能够让好人进入网络。不过，没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。

在下列指南中，我们将研究一下你可 以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙，而不是一个敞开的大门。

1.修改默认的口令

据国外调查显示，80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表，以及一个口令的可靠性测试。

2.关闭IP直接广播（IP Directed Broadcast）

你的服务器是很听话的。让它做什么它就做什么，而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中，攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。 参考你的路由器信息文件，了解如何关闭IP直接广播。例如，“Central（config）#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。

3.如果可能，关闭路由器的HTTP设置

正如思科的技术说明中简要说明的那样，HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，遗憾的是，HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

虽然这种未加密的口令对于你从远程位置（例如家里）设置你的路由器也许是非常方便的，但是，你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器，你一定要确保使用SNMPv3以上版本的协议，因为它支持更严格的口令。

4.封锁ICMP ping请求

ping的主要目的是识别目前正在使用的主机。因此，ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的`应答能力，你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”（script kiddies）。

请注意，这样做实际上并不能保护你的网络不受攻击，但是，这将使你不太可能成为一个攻击目标。

5.关闭IP源路由

IP协议允许一台主机指定数据包通过你的网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像，或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。6.确定你的数据包过滤的需求

封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。

对于高度安全的网络来说，特别是在存储或者保持秘密数据的时候，通常要求经过允许才可以过滤。在这种规定中，除了网路功能需要的之外，所有的端口和IP地址都必要要封锁。例如，用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问，而所有其它端口和地址都可以关闭。

大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时，可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如，封锁139端口和445（TCP和UDP）端口将使黑客更难对你的网络实施穷举攻击。封锁31337（TCP和UDP）端口将使Back Orifice木马程序更难攻击你的网络。

6.建立准许进入和外出的地址过滤政策

在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外，所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如，192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是，216.239.55.99这个地址很可能是欺骗性的，并且是一场攻击的一部分。

相反，来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此，应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最后，拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类（class E）地址段240.0.0.0-254.255.255.255。

7.保持路由器的物理安全

从网络嗅探的角度看，路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包，而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式，它们就能够接收和看到所有的广播，包括口令、POP3通信和Web通信。

然后，重要的是确保物理访问你的网络设备是安全的，以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

8.花时间审阅安全记录

审阅你的路由器记录（通过其内置的防火墙功能）是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录，你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。

此外，一般来说，路由器位于你的网络的边缘，并且允许你看到进出你的网络全部通信的状况。

无线路由器安全设置方法

无线路由器方面了我们上网，也让我们陷入网络危险之中，下面我为大家整理了无线路由器安全设置方法，希望能帮到大家!

无线路由器安全设置：WEP加密,还是WPA加密?

无线网络加密是通过对无线电波里的数据加密提供安全性,主要用于无线局域网中链路层信息数据的保密?现在大多数的无线设备具有WEP加密和WAP加密功能,那么我们使用WEP加密,还是WAP加密呢?显然WEP出现得比WAP早,WAP比WEP安全性更好一些。

WEP采用对称加密机制,数据的加密和解密采用相同的密钥和加密算法?启用加密后,两个无线网络设备要进行通信,必须均配置为使用加密,具有相同的密钥和算法?WEP支持64位和128位加密,对于64位加密,密钥为10个十六进制字符(0-9和A-F)或5个ASCII字符;对于128位加密,密钥为26个十六进制字符或13个ASCII字符。

无线路由器安全设置：如何让WEP更安全

(1)使用多组WEP密钥,使用一组固定WEP密钥,将会非常不安全,使用多组WEP密钥会提高安全性,但是请注意WEP密钥是保存在Flash中,所以某些黑客取得您的网络上的任何一个设备,就可以进入您的网络;

(2)如果你使用的是旧型的无线路由器,且只支持WEP,你可以使用128位的WEPKey,这样会让你的无线网络更安全

(3)定期更换你的WEP密钥

(4)你可以去制造商的网站下载一个固件升级,升级后就能添加WPA支持

WPA(Wi-Fi保护接入)能够解决WEP所不能解决的安全问题?简单来说,WEP的安全性不高的问题来源于网络上各台设备共享使用一个密钥?该密钥存在不安全因素,其调度算法上的弱点让恶意黑客能相对容易地拦截并破坏WEP密码,进而访问到局域网的内部资源?、。

WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术?由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥?其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥?然后与WEP一样将此密钥用于RC4加密处理。

通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的.密钥加密而成?无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的?WPA还追加了防止数据中途被篡改的功能和认证功能?由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决?WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵?作为802.11i标准的子集,WPA包含了认证?加密和数据完整性校验三个组成部分,是一个完整的安全性方案。

在这里要提醒各位,许多无线路由器或AP在出厂时,数据传输加密功能是关闭的,如果你拿来就用而不作进一步设置的话,那么你的无线网络就成为了一个“不设防"的摆设。我们给出的建议是:采用WPA加密方式。

无线路由器安全设置：MAC地址—网络世界的DNA

由于每个无线网卡都有世界上唯一的物理地址MAC,因此可以在无线AP(或无线路由器)中手工设置一组允许访问的主机的无线网卡MAC地址列表,实现物理地址过滤?这要求我们必需随时更新AP中的MAC地址列表。

路由器设置MAC地址过滤对于大型无线网络来说工作量太大,但对于小型无线网络则不然,因此我们应不怕麻烦?MAC地址在理论上是可以伪造,因此它是较低级别的认证方式。我们给出的建议是:对于家庭及小型办公无线网络,用户不是很多,应该设置MAC地址过滤功能。

无线路由器安全设置：SSID—隐藏自己

无线路由器一般都会提供“允许SSID广播"功能?如果你不想让自己的无线网络被别人的无线网卡“轻易"搜索到,那么最好“禁止SSID广播"?SSID通俗地说便是给无线网络所取的名字,它的作用是区分不同的无线网络。

SSID是无线网卡发现无线网络的第一要素,开启广播SSID以后,在无线网络的效覆盖范围内,无线网卡会自动找到该网络,并尝试与之连接?若我们不愿将自己的无线网络曝露在大庭广众之内,我们应想到隐藏自己无无线网络的SSID,应把“广播SSID"这项功能关闭。“广播SSID"关闭以后,无线网卡不会自动找到无线网络,到接入到这个无线网络需要手动添加SSID?我们给出的建议是:隐藏SSID。

无线路由器安全设置：如何让无线网络更安全

据互联网的资料,使用以下软件:NetworkStumbler?WildPacketsAiroPeekNX?OmniPeek4.1和WinAircrack等,这些软件只要有足够长的时间来抓取正在通信中的无线网络通信信号,就可以破解包括WEP加密，WPA加密，MAC过滤，SSID隐藏等无线网络安全设置。这听起来不免令我们失望,那么如何让无线网络更安全?

确保尽可能的让无线接入网络不要依赖于WEP等技术而尽可能的采取其他更为安全手段,目前实现这个目标的方法主要有VPN技术,如:使用安全协议如点对点隧道协议(PPTP)或者第二层隧道协议(L2TP),使用IPSec,SSL等VPN技术。这样既可以获得访问控制功能,也可以获得端到端(程序至程序)的加密功能。

VPN技术这种端到端的安全解决方案对小型网络和个人应用来说可能部署起来过于复杂和没有技术方面的支持,这是我们小型用户感到为难的地方,但基于WEB方式SSLVPN技术相对来说较容易一些。

无线路由器安全设置：自动获取IP,还是固定IP?

DHCP(DynamicHostConfigurationProtocol)动态主机设定协议的功能就是可在局域网内自动为每台电脑分配IP地址,不需要用户设置IP地址?子网掩码以及其他所需要的TCP/IP参数。它分为两个部份:一个是服务器端(在这里指的是具有DHCP服务功能的无线AP或无线路由器),而另一个是客户端(用户的个人电脑等无线客户端设备)?所有的IP网路设定资料都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从DHCP服务器分配下来的IP环境资料。

如果无线路由器或无线AP启用了DHCP功能,为接入无线网络的主机提供动态IP,那么别人就能很容易使用你的无线网络。因此,禁用DHCP功能对个人或企业无线网络而言很有必要,除非在机场?酒吧等公共无线“热点"地区,则应打开DHCP功能?一般在无线路由器的“DHCP服务器"设置项下将DHCP服务器设定为“不启用"即可?这样既使能找到该无线网络信号,仍然不能使用网络。我们给出的建议是:采用不是很常用私有网段的静态方式,最好不要用192.168.0.0-192.168.0.255这个常用私有网段,让人一猜就中。

路由器如何保护内网安全的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于如何让路由器更安全、路由器如何保护内网安全的信息别忘了在本站进行查找喔。