路由器設置 病毒阻斷措施二

(1)端口加固

要想路由器這座城墻固若金湯，密碼的設置當然非常重要。一般情況下，網絡管理人員可以通過路由器的Console Aux和Ethernet口登錄到路由器，然后進行配置。這種情況雖然方便了管理，但非法之徒也可以乘虛而入，所以給相應的端口加上密碼是必須的常規配置方法。以Aux端口為例，命令如下：

Router#configure terminal  
 
Enter configuration commands, one per line. End with CNTL/Z.  
 
Router(config)#line aux 0  
 
Router(config-line)#password test54ee  
 
Router(config-line)#login 

顯然，配置密碼時應該加強密碼的混合度使非法入侵者不那么輕松破門而入進行大肆攻擊路由器。不少管理員對超級用戶密碼進行設置時使用配置命令enable password，這就埋下了一大安全隱患。鑒于此，推薦用戶使用enable secret命令對密碼進行加密，這種加密采用了MD5散列算法較前一配置更為安全。

Router(config)#enable secret test54ee

(2)過濾ICMP報文

惡性的ping是局域網病毒常常采用的攻擊方式。病毒隨機生成ping的目標地址，然后通過路由器來進行報文轉發，因此在路由器中就需要為每個 ping的ICMP報文創建一條NAT的對應表。如果管理員在特權用戶模式下查看該表時，若是用戶看到大量的ICMP的NAT的session就應該警惕地想到是否已經中招(即遭到拒絕服務攻擊)。

如果病毒惡性的發動ICMP的ping攻擊，在幾秒鐘內發出上萬個ping報文則會在NAT表中占用了大量的NAT的Session的連接。而 UDP的NAT的SESSlON的存在時間為5秒，TCP連接的NAT的SESSION的保存時間為24小時，這種惡性的ping攻擊便可能將NAT的 SESSION的值全部占用。造成的后果是，正常的網絡數據報文由于路由器的全部的NAT的SESSlON都被占用得不到NAT的服務會造成無法進行正常的網絡通訊。因此，我們可以采用訪問列表的方式將ICMP的報文過濾掉，保證正常的網絡服務。我們可以通過下面命令屏蔽來自外部和內部的ICMP包。

Router(Config)#access-list 110 deny icmp any any echo log  
 
Router(Config)#access-list 110 deny icmp any any redirect log  
 
Router(Config)#access-list 110 deny icmp any any mask-request log  
 
Router(Config)#access-list 110 permit icmp any any  
 
Router(Config)#access-list 111 permit icmp any any echo  
 
Router(Config)#access-list 111 permit icmp any any Parameter-problem  
 
Router(Config)#access-list 111 permit icmp any any packet-too-big  
 
Router(Config)#access-list 111 permit icmp any any source-quench  
 
Router(Config)#access-list 111 deny icmp any any log 

(3)端口過濾

在路由器的出口和入口創建訪問列表來控制病毒的出入，這些訪問控制列表都是基于端口(比如135、136、445、4444等)的。通常情況下，管理員可通過察看數據包的數目，以調整他們的順序，將轉換多的包放在前面可以提高速度。

Router(Config)#Access-list 110 deny tcp any any eq 135  
 
Router(Config)#Access-list 110 deny udp any any eq 135  
 
Router(Config)#Access-list 110 deny tcp any any eq 136  
 
Router(Config)#Access-list 110 deny udp any any eq 136  
 
Router(Config)#Access-list 110 deny tcp any any eq 445  
 
Router(Config)#Access-list 110 deny udp any any eq 445  
 
Router(Config)#Access-list 110 deny tcp any any eq 4444  
 
Router(Config)#Access-list 110 deny udp any any eq 4444 

按照上述方式，將列表應用到相應的端口即可以了。

病毒的阻斷措施不止以上介紹的內容，更多的內容請看：巧設路由器，阻斷局域網病毒傳播路徑 上

【編輯推薦】

1. 路由器的POS接入技術及解決方案
2. 路由器日志信息記錄的配置方法 續
3. 初學者必看：CISCO路由器教程講解
4. 解答通過路由器在內網上設置rootkit
5. 詳細講解路由器設置 讓安全陪伴左右 
6. 軟路由應用技巧：架設跨網段訪問橋梁