制定恰当的安全策略

　　部署路由器安全工作，管理员首先要明白什么是影响路由器安全的因素，以制定出恰当的安全策略和具体的技术实施方案。影响路由器安全的因素可以划分为四类，如图1所示。其中物理安全是路由器安全的最核心问题，如果攻击者可以轻易地接触到用户的路由器，并可以进行关机、密码破解等操作，那将是极其危险的;其次是静态配置的安全威胁，主要是指路由器上保存的操作系统程序以及配置文件，配置文件中一般包含着路由器接口地址、登录密码等重要信息，这些信息如果被攻击者获得，后果不堪设想;第三个因素是路由器动态配置，首当其冲的是路由表，另外还有接口状态、ARP表、日志信息等等;影响最小的是路由器的转发流量，但管理员往往把最多心思花费在这方面，转发流量中可能包含一些攻击，管理员可以设置只允许某些协议、特定IP的流量通过，以排除攻击。

　　做好路由器安全工作的必要前提是分权管理。将维护路由器的人员分为管理员和操作员两种，二者的权限不同，尽量保密路由器中的重要信息。管理员需要负责制定路由器的安全策略，建议管理员按照以下步骤制定安全策略：

　　1. 制定安全目标，即希望路由器安全可以达到的效果，而不是一些配置命令。

　　2. 逐步制定策略，安全管理员根据图1所示的路由器安全层面图，由里到外，一步步制定各个区域内的安全策略。

　　3. 服务最小化，关闭路由器上不必要的服务，减少安全隐患。