毫無疑問，局域網是病毒木馬的“溫床”。某個客戶端中毒往往會殃及池魚感染其他客戶端，甚至影響到整個局域網。如果這樣，輕則吃掉帶寬，重則形成網絡故障甚至造成整個網絡癱瘓，所有這些讓網絡管理員們談毒色變。其實，在局域網的特殊節點上做好部署就能有效阻斷病毒傳播途徑，從而預防因病毒造成的災難性后果。其中，路由器就是非常關鍵的網絡節點。下面以Cisco路由器為例，談談如何通過設置阻斷局域網病毒。

1.阻斷原理

路由器作為網絡中的關鍵設備是否可以阻隔病毒的傳染呢？ 路由器作為內部PC機的跨網段訪問的通道，如果我們將這些端口限制掉，便可以防止病毒通過路由器從外網進入同時也可以防止內部的病毒通過路由器向外傳染病毒。

路由器作為NAT地址轉換接入到Internet，在路由器的太口都配置防火墻將危險的目標端口所有的報文都限制掉，這樣從Internet對內部網發起的攻擊路由器將病毒攻擊報文阻隔掉無法進入到內部網來。

另外，如果內部的PC已經感染了病毒也無法通過路由器將病毒的攻擊報文傳到外部網去。需要注意的是：通過路由器阻止病毒傳播是建立在局域網子網劃分的基礎之上的。如果沒有細化的子網病毒傳染是無法阻隔的，因為同一個網段的PC的網絡傳輸是不通過路由器進行報文轉發的。好在規模較大的局域網都劃分了子網，并且各子網直接通過路由器/交換機來隔離。#p#

2.阻斷措施

（1）端口加固

要想路由器這座城墻固若金湯，密碼的設置當然非常重要。一般情況下，網絡管理人員可以通過路由器的Console Aux和Ethernet口登錄到路由器，然后進行配置。這種情況雖然方便了管理，但非法之徒也可以乘虛而入，所以給相應的端口加上密碼是必須的常規配置方法。以Aux端口為例，命令如下：

Router#configure terminal

Enter configuration commands， one per line. End with CNTL/Z.

Router（config）#line aux 0

Router（config-line）#password test54ee

Router（config-line）#login

顯然，配置密碼時應該加強密碼的混合度使非法入侵者不那么輕松破門而入進行大肆攻擊路由器。不少管理員對超級用戶密碼進行設置時使用配置命令enable password，這就埋下了一大安全隱患。鑒于此，推薦用戶使用enable secret命令對密碼進行加密，這種加密采用了MD5散列算法較前一配置更為安全。

Router（config）#enable secret test54ee

圖1

（2）過濾ICMP報文

惡性的ping是局域網病毒常常采用的攻擊方式。病毒隨機生成ping的目標地址，然后通過路由器來進行報文轉發，因此在路由器中就需要為每個ping 的ICMP報文創建一條NAT的對應表。如果管理員在特權用戶模式下查看該表時，若是用戶看到大量的ICMP的NAT的session就應該警惕地想到是否已經中招（即遭到拒絕服務攻擊）。

如果病毒惡性的發動ICMP的ping攻擊，在幾秒鐘內發出上萬個ping報文則會在NAT表中占用了大量的NAT的Session的連接。而UDP的NAT的SESSlON的存在時間為5秒，TCP連接的NAT的SESSION的保存時間為24小時，這種惡性的ping攻擊便可能將NAT的SESSION的值全部占用。造成的后果是，正常的網絡數據報文由于路由器的全部的NAT的SESSlON都被占用得不到NAT的服務會造成無法進行正常的網絡通訊。因此，我們可以采用訪問列表的方式將ICMP的報文過濾掉，保證正常的網絡服務。我們可以通過下面命令屏蔽來自外部和內部的ICMP包。

Router（Config）#access-list 110 deny icmp any any echo log

Router（Config）#access-list 110 deny icmp any any redirect log

Router（Config）#access-list 110 deny icmp any any mask-request log

Router（Config）#access-list 110 permit icmp any any

Router（Config）#access-list 111 permit icmp any any echo

Router（Config）#access-list 111 permit icmp any any Parameter-problem

Router（Config）#access-list 111 permit icmp any any packet-too-big

Router（Config）#access-list 111 permit icmp any any source-quench

Router（Config）#access-list 111 deny icmp any any log

圖2

（3）端口過濾

在路由器的出口和入口創建訪問列表來控制病毒的出入，這些訪問控制列表都是基于端口（比如135、136、445、4444等）的。通常情況下，管理員可通過察看數據包的數目，以調整他們的順序，將轉換多的包放在前面可以提高速度。

Router（Config）#Access-list 110 deny tcp any any eq 135

Router（Config）#Access-list 110 deny udp any any eq 135

Router（Config）#Access-list 110 deny tcp any any eq 136

Router（Config）#Access-list 110 deny udp any any eq 136

Router（Config）#Access-list 110 deny tcp any any eq 445

Router（Config）#Access-list 110 deny udp any any eq 445

Router（Config）#Access-list 110 deny tcp any any eq 4444

Router（Config）#Access-list 110 deny udp any any eq 4444

按照上述方式，將列表應用到相應的端口即可以了。

Router（Config）#access-list 111 permit icmp any any packet-too-big

Router（Config）#access-list 111 permit icmp any any source-quench

Router（Config）#access-list 111 deny icmp any any log

圖3

#p#

3.其他措施

（1）服務優化

路由器開啟的服務要盡量地少，依據需要只開啟所需的服務，禁掉一些不必要的服務。這樣不僅節省內存，另外最大的好處就是安全性的提高。如何保障路由器的簡約的工作，防止內存的消耗可以通過以下方法進行：首先用戶可以關閉路由器的報文快速轉發機制，通過關閉接口的報文快速轉發機制，采用正常的報文轉發機制便會杜絕路由器由于快速轉發造成的內存不足問題。其次在內存分配方面進行優化，關閉快速轉發最后用戶還應該檢查是否已經正確的配置靜態路由。

圖4

（2）路由安全

無論網絡管理人員多么辛苦地防范，但是堡壘往往會從內部被攻破，若是路由器的物理安全得不到保障其他一切都是空談。另外，對于Cisco路由器來說其IOS安全也是不容忽視的，要做好備份和升級。其次，路由日志安全也很重要，要做好備份策略。

總之，只要掌握病毒特點就可以利用cisco路由器的本身功能夠斬斷黑手，在最大程度上將病毒拒之門外。當然，這只是在缺少其它保護的前提下應用的策略。為了保護網絡的安全，可采用多種安全產品，網管的責任心也是非常重要的因素。

【編輯推薦】

1. 謹防“鄰居”入侵 修改無線路由器設置
2. 有效防范局域網病毒入侵的方法