如何進行有效的企業(yè)路由器設置？是企業(yè)的相關(guān)人員需要認真總結(jié)的。“我被安全路由器給忽悠了！”張路（化名）十分氣憤的說。張路所在單位前些日子購買了企業(yè)路由器，當他看到企業(yè)路由器的防御能力介紹后，對單位網(wǎng)絡安全問題增強了很多信心。可是好日子沒過幾天，單位就中了ARP病毒，并遭受了DDoS攻擊，使得單位內(nèi)部網(wǎng)絡經(jīng)常性掉線，即便是能湊合使也是網(wǎng)速如蝸牛爬。

這里不得不說，小張對安全路由器的理解有失偏頗。因為即便是企業(yè)已經(jīng)部署了安全路由器產(chǎn)品，而且其安全功能十分強大，假若使用者對其安全策略設置不當，病毒與攻擊也可輕松地繞過企業(yè)路由器，對企業(yè)的內(nèi)部網(wǎng)絡終端設備發(fā)動攻擊。這時企業(yè)路由器安全功能形同虛設。眾所周知，隨互聯(lián)網(wǎng)快速發(fā)展，國內(nèi)企業(yè)用戶的網(wǎng)絡規(guī)模日益增長。隨之而來的信息安全問題，已經(jīng)成為眾多企業(yè)用戶最為關(guān)心的幾大問題之一。就目前大多數(shù)用戶而言，解決網(wǎng)關(guān)安全問題采用的手段多以部署安全路由器或用防火墻構(gòu)建安全體系為主。

目前，多數(shù)制造商對其企業(yè)路由器產(chǎn)品均增加安全功能。然而路由器設備一般在出廠時，廠商在安全功能上都不會進行任何設置。用戶或者是集成商要根據(jù)企業(yè)的需要不同，進行針對性設置，以實現(xiàn)更好的防范效果。為了大家不要像小張那樣吃一個暗虧，今天筆者將依據(jù)多年的使用經(jīng)驗，介紹一下如何設置好企業(yè)路由器，讓路由器的發(fā)揮更好的價值。這也算是拋磚引玉吧。產(chǎn)品說明書十分重要，而這卻是我們在網(wǎng)絡管理工作中常常忽略的。因此我建議你首先做的，就是要閱讀路由器的說明書，看一看它能夠?qū)崿F(xiàn)那些功能，及實現(xiàn)后的效果如何；其次，你可以上網(wǎng)搜索一下，看看你使用的這個產(chǎn)品，還有哪些賣點。不過，有一點可以肯定——大多數(shù)路由器在默認狀態(tài)下，安全功能是不會被啟用的。設置企業(yè)路由器的安全功能，正是我們防范網(wǎng)絡病毒，抵御DDoS攻擊最為重要的一步。那么我們就開始進行設置：

啟用ACL防網(wǎng)絡病毒功能

對于網(wǎng)絡安全要求等級較高的企業(yè)來說，在存儲或者傳輸加密數(shù)據(jù)的時候，通常要求經(jīng)過允許才可以過濾。在這種規(guī)定中，除了網(wǎng)路功能需要的之外，所有的端口和IP地址都必要要封鎖。例如，用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問，而所有其它端口和地址都需要關(guān)閉。大多數(shù)網(wǎng)絡將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當使用這種過濾政策時，需要封鎖你網(wǎng)絡中沒有使用的端口，同時還要封鎖通常被特洛伊木馬以及非法網(wǎng)絡偵測活動所使用的端口，以此增強網(wǎng)絡的安全性。例如，封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網(wǎng)絡實施窮舉攻擊（就是在已知一些條件的情況下，把所有的情況都試驗一下）。封鎖31337(TCP和UDP)端口將使Back Orifice木馬程序更難攻擊你的網(wǎng)絡。

啟用MAC地址的過濾

ARP病毒威脅一直令我們比較心煩的問題，它基本上是通過改變網(wǎng)關(guān)的MAC地址實現(xiàn)網(wǎng)絡攻擊的。根據(jù)企業(yè)的不同的網(wǎng)絡結(jié)構(gòu)，IP地址的分配原則，來實現(xiàn)IP/MAC地址的綁定。

內(nèi)部PC限制NAT的鏈接數(shù)量

NAT功能是在企業(yè)網(wǎng)中應用最廣的功能，由于IP地址不足的原因，運營商提供給企業(yè)網(wǎng)的一般就是1個IP地址，而企業(yè)網(wǎng)內(nèi)部有大量的PC，這么多的PC都要通過這唯一的一個IP地址進行上網(wǎng)，如何做到這點呢?答案就是NAT(網(wǎng)絡IP地址轉(zhuǎn)換)。內(nèi)部PC訪問外網(wǎng)的時候，在企業(yè)路由器內(nèi)部建立一個對應列表，列表中包含內(nèi)部PC的IP地址、訪問的外部IP地址，內(nèi)部的IP端口，訪問目的IP端口等信息，所以每次的ping、下載、WEB訪問，都有在企業(yè)路由器上建立對應關(guān)系列表，如果該列表對應的網(wǎng)絡鏈接有數(shù)據(jù)通訊，這些列表會一直保留在企業(yè)路由器中，如果沒有數(shù)據(jù)通訊了，也需要30-100秒才會消失掉。

開啟內(nèi)外網(wǎng)攻擊

只要有大量的人去ping這個網(wǎng)站，這個網(wǎng)站就會被摧毀，這個就是所謂的拒絕服務的攻擊，用大量的無用的數(shù)據(jù)請求，讓他無暇顧及正常的網(wǎng)絡請求。網(wǎng)絡上的黑客在發(fā)起攻擊前，都要對網(wǎng)絡上的各個IP地址進行掃描，其中一個常見的掃描方法就是ping，如果有應答，則說明這個ip地址是活動的，就是可以攻擊的，這樣就會暴露了目標，同時如果在外部也有大量的報文對路由器發(fā)起Ping請求，也會把企業(yè)網(wǎng)的企業(yè)路由器拖跨掉。而多數(shù)路由器均有應對這類攻擊安全防范措施。