毫無(wú)疑問(wèn)，局域網(wǎng)是病毒木馬的“溫床”。某個(gè)客戶端中毒往往會(huì)殃及池魚(yú)感染其他客戶端，甚至影響到整個(gè)局域網(wǎng)。如果這樣，輕則吃掉帶寬，重則形成網(wǎng)絡(luò)故障甚至造成整個(gè)網(wǎng)絡(luò)癱瘓，所有這些讓網(wǎng)絡(luò)管理員們談毒色變。其實(shí)，在局域網(wǎng)的特殊節(jié)點(diǎn)上做好部署就能有效阻斷病毒傳播途徑，從而預(yù)防因病毒造成的災(zāi)難性后果。其中，路由器就是非常關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)。下面以Cisco路由器為例，談?wù)勅绾瓮ㄟ^(guò)設(shè)置阻斷局域網(wǎng)病毒。

1.阻斷原理

路由器作為網(wǎng)絡(luò)中的關(guān)鍵設(shè)備是否可以阻隔病毒的傳染呢？ 路由器作為內(nèi)部PC機(jī)的跨網(wǎng)段訪問(wèn)的通道，如果我們將這些端口限制掉，便可以防止病毒通過(guò)路由器從外網(wǎng)進(jìn)入同時(shí)也可以防止內(nèi)部的病毒通過(guò)路由器向外傳染病毒。

路由器作為NAT地址轉(zhuǎn)換接入到Internet，在路由器的太口都配置防火墻將危險(xiǎn)的目標(biāo)端口所有的報(bào)文都限制掉，這樣從Internet對(duì)內(nèi)部網(wǎng)發(fā)起的攻擊路由器將病毒攻擊報(bào)文阻隔掉無(wú)法進(jìn)入到內(nèi)部網(wǎng)來(lái)。

另外，如果內(nèi)部的PC已經(jīng)感染了病毒也無(wú)法通過(guò)路由器將病毒的攻擊報(bào)文傳到外部網(wǎng)去。需要注意的是：通過(guò)路由器阻止病毒傳播是建立在局域網(wǎng)子網(wǎng)劃分的基礎(chǔ)之上的。如果沒(méi)有細(xì)化的子網(wǎng)病毒傳染是無(wú)法阻隔的，因?yàn)橥粋€(gè)網(wǎng)段的PC的網(wǎng)絡(luò)傳輸是不通過(guò)路由器進(jìn)行報(bào)文轉(zhuǎn)發(fā)的。好在規(guī)模較大的局域網(wǎng)都劃分了子網(wǎng)，并且各子網(wǎng)直接通過(guò)路由器/交換機(jī)來(lái)隔離。#p#

2.阻斷措施

（1）端口加固

要想路由器這座城墻固若金湯，密碼的設(shè)置當(dāng)然非常重要。一般情況下，網(wǎng)絡(luò)管理人員可以通過(guò)路由器的Console Aux和Ethernet口登錄到路由器，然后進(jìn)行配置。這種情況雖然方便了管理，但非法之徒也可以乘虛而入，所以給相應(yīng)的端口加上密碼是必須的常規(guī)配置方法。以Aux端口為例，命令如下：

Router#configure terminal

Enter configuration commands， one per line. End with CNTL/Z.

Router（config）#line aux 0

Router（config-line）#password test54ee

Router（config-line）#login

顯然，配置密碼時(shí)應(yīng)該加強(qiáng)密碼的混合度使非法入侵者不那么輕松破門(mén)而入進(jìn)行大肆攻擊路由器。不少管理員對(duì)超級(jí)用戶密碼進(jìn)行設(shè)置時(shí)使用配置命令enable password，這就埋下了一大安全隱患。鑒于此，推薦用戶使用enable secret命令對(duì)密碼進(jìn)行加密，這種加密采用了MD5散列算法較前一配置更為安全。

Router（config）#enable secret test54ee

圖1

（2）過(guò)濾ICMP報(bào)文

惡性的ping是局域網(wǎng)病毒常常采用的攻擊方式。病毒隨機(jī)生成ping的目標(biāo)地址，然后通過(guò)路由器來(lái)進(jìn)行報(bào)文轉(zhuǎn)發(fā)，因此在路由器中就需要為每個(gè)ping 的ICMP報(bào)文創(chuàng)建一條NAT的對(duì)應(yīng)表。如果管理員在特權(quán)用戶模式下查看該表時(shí)，若是用戶看到大量的ICMP的NAT的session就應(yīng)該警惕地想到是否已經(jīng)中招（即遭到拒絕服務(wù)攻擊）。

如果病毒惡性的發(fā)動(dòng)ICMP的ping攻擊，在幾秒鐘內(nèi)發(fā)出上萬(wàn)個(gè)ping報(bào)文則會(huì)在NAT表中占用了大量的NAT的Session的連接。而UDP的NAT的SESSlON的存在時(shí)間為5秒，TCP連接的NAT的SESSION的保存時(shí)間為24小時(shí)，這種惡性的ping攻擊便可能將NAT的SESSION的值全部占用。造成的后果是，正常的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文由于路由器的全部的NAT的SESSlON都被占用得不到NAT的服務(wù)會(huì)造成無(wú)法進(jìn)行正常的網(wǎng)絡(luò)通訊。因此，我們可以采用訪問(wèn)列表的方式將ICMP的報(bào)文過(guò)濾掉，保證正常的網(wǎng)絡(luò)服務(wù)。我們可以通過(guò)下面命令屏蔽來(lái)自外部和內(nèi)部的ICMP包。

Router（Config）#access-list 110 deny icmp any any echo log

Router（Config）#access-list 110 deny icmp any any redirect log

Router（Config）#access-list 110 deny icmp any any mask-request log

Router（Config）#access-list 110 permit icmp any any

Router（Config）#access-list 111 permit icmp any any echo

Router（Config）#access-list 111 permit icmp any any Parameter-problem

Router（Config）#access-list 111 permit icmp any any packet-too-big

Router（Config）#access-list 111 permit icmp any any source-quench

Router（Config）#access-list 111 deny icmp any any log

圖2

（3）端口過(guò)濾

在路由器的出口和入口創(chuàng)建訪問(wèn)列表來(lái)控制病毒的出入，這些訪問(wèn)控制列表都是基于端口（比如135、136、445、4444等）的。通常情況下，管理員可通過(guò)察看數(shù)據(jù)包的數(shù)目，以調(diào)整他們的順序，將轉(zhuǎn)換多的包放在前面可以提高速度。

Router（Config）#Access-list 110 deny tcp any any eq 135

Router（Config）#Access-list 110 deny udp any any eq 135

Router（Config）#Access-list 110 deny tcp any any eq 136

Router（Config）#Access-list 110 deny udp any any eq 136

Router（Config）#Access-list 110 deny tcp any any eq 445

Router（Config）#Access-list 110 deny udp any any eq 445

Router（Config）#Access-list 110 deny tcp any any eq 4444

Router（Config）#Access-list 110 deny udp any any eq 4444

按照上述方式，將列表應(yīng)用到相應(yīng)的端口即可以了。

Router（Config）#access-list 111 permit icmp any any packet-too-big

Router（Config）#access-list 111 permit icmp any any source-quench

Router（Config）#access-list 111 deny icmp any any log

圖3

#p#

3.其他措施

（1）服務(wù)優(yōu)化

路由器開(kāi)啟的服務(wù)要盡量地少，依據(jù)需要只開(kāi)啟所需的服務(wù)，禁掉一些不必要的服務(wù)。這樣不僅節(jié)省內(nèi)存，另外最大的好處就是安全性的提高。如何保障路由器的簡(jiǎn)約的工作，防止內(nèi)存的消耗可以通過(guò)以下方法進(jìn)行：首先用戶可以關(guān)閉路由器的報(bào)文快速轉(zhuǎn)發(fā)機(jī)制，通過(guò)關(guān)閉接口的報(bào)文快速轉(zhuǎn)發(fā)機(jī)制，采用正常的報(bào)文轉(zhuǎn)發(fā)機(jī)制便會(huì)杜絕路由器由于快速轉(zhuǎn)發(fā)造成的內(nèi)存不足問(wèn)題。其次在內(nèi)存分配方面進(jìn)行優(yōu)化，關(guān)閉快速轉(zhuǎn)發(fā)最后用戶還應(yīng)該檢查是否已經(jīng)正確的配置靜態(tài)路由。

圖4

（2）路由安全

無(wú)論網(wǎng)絡(luò)管理人員多么辛苦地防范，但是堡壘往往會(huì)從內(nèi)部被攻破，若是路由器的物理安全得不到保障其他一切都是空談。另外，對(duì)于Cisco路由器來(lái)說(shuō)其IOS安全也是不容忽視的，要做好備份和升級(jí)。其次，路由日志安全也很重要，要做好備份策略。

總之，只要掌握病毒特點(diǎn)就可以利用cisco路由器的本身功能夠斬?cái)嗪谑?，在最大程度上將病毒拒之門(mén)外。當(dāng)然，這只是在缺少其它保護(hù)的前提下應(yīng)用的策略。為了保護(hù)網(wǎng)絡(luò)的安全，可采用多種安全產(chǎn)品，網(wǎng)管的責(zé)任心也是非常重要的因素。

【編輯推薦】

1. 謹(jǐn)防“鄰居”入侵 修改無(wú)線路由器設(shè)置
2. 有效防范局域網(wǎng)病毒入侵的方法