如何進(jìn)行有效的企業(yè)路由器設(shè)置？是企業(yè)的相關(guān)人員需要認(rèn)真總結(jié)的。“我被安全路由器給忽悠了！”張路（化名）十分氣憤的說。張路所在單位前些日子購買了企業(yè)路由器，當(dāng)他看到企業(yè)路由器的防御能力介紹后，對單位網(wǎng)絡(luò)安全問題增強(qiáng)了很多信心。可是好日子沒過幾天，單位就中了ARP病毒，并遭受了DDoS攻擊，使得單位內(nèi)部網(wǎng)絡(luò)經(jīng)常性掉線，即便是能湊合使也是網(wǎng)速如蝸牛爬。

這里不得不說，小張對安全路由器的理解有失偏頗。因?yàn)榧幢闶瞧髽I(yè)已經(jīng)部署了安全路由器產(chǎn)品，而且其安全功能十分強(qiáng)大，假若使用者對其安全策略設(shè)置不當(dāng)，病毒與攻擊也可輕松地繞過企業(yè)路由器，對企業(yè)的內(nèi)部網(wǎng)絡(luò)終端設(shè)備發(fā)動攻擊。這時(shí)企業(yè)路由器安全功能形同虛設(shè)。眾所周知，隨互聯(lián)網(wǎng)快速發(fā)展，國內(nèi)企業(yè)用戶的網(wǎng)絡(luò)規(guī)模日益增長。隨之而來的信息安全問題，已經(jīng)成為眾多企業(yè)用戶最為關(guān)心的幾大問題之一。就目前大多數(shù)用戶而言，解決網(wǎng)關(guān)安全問題采用的手段多以部署安全路由器或用防火墻構(gòu)建安全體系為主。

目前，多數(shù)制造商對其企業(yè)路由器產(chǎn)品均增加安全功能。然而路由器設(shè)備一般在出廠時(shí)，廠商在安全功能上都不會進(jìn)行任何設(shè)置。用戶或者是集成商要根據(jù)企業(yè)的需要不同，進(jìn)行針對性設(shè)置，以實(shí)現(xiàn)更好的防范效果。為了大家不要像小張那樣吃一個(gè)暗虧，今天筆者將依據(jù)多年的使用經(jīng)驗(yàn)，介紹一下如何設(shè)置好企業(yè)路由器，讓路由器的發(fā)揮更好的價(jià)值。這也算是拋磚引玉吧。產(chǎn)品說明書十分重要，而這卻是我們在網(wǎng)絡(luò)管理工作中常常忽略的。因此我建議你首先做的，就是要閱讀路由器的說明書，看一看它能夠?qū)崿F(xiàn)那些功能，及實(shí)現(xiàn)后的效果如何；其次，你可以上網(wǎng)搜索一下，看看你使用的這個(gè)產(chǎn)品，還有哪些賣點(diǎn)。不過，有一點(diǎn)可以肯定——大多數(shù)路由器在默認(rèn)狀態(tài)下，安全功能是不會被啟用的。設(shè)置企業(yè)路由器的安全功能，正是我們防范網(wǎng)絡(luò)病毒，抵御DDoS攻擊最為重要的一步。那么我們就開始進(jìn)行設(shè)置：

啟用ACL防網(wǎng)絡(luò)病毒功能

對于網(wǎng)絡(luò)安全要求等級較高的企業(yè)來說，在存儲或者傳輸加密數(shù)據(jù)的時(shí)候，通常要求經(jīng)過允許才可以過濾。在這種規(guī)定中，除了網(wǎng)路功能需要的之外，所有的端口和IP地址都必要要封鎖。例如，用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問，而所有其它端口和地址都需要關(guān)閉。大多數(shù)網(wǎng)絡(luò)將通過使用“按拒絕請求實(shí)施過濾”的方案享受可以接受的安全水平。當(dāng)使用這種過濾政策時(shí)，需要封鎖你網(wǎng)絡(luò)中沒有使用的端口，同時(shí)還要封鎖通常被特洛伊木馬以及非法網(wǎng)絡(luò)偵測活動所使用的端口，以此增強(qiáng)網(wǎng)絡(luò)的安全性。例如，封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網(wǎng)絡(luò)實(shí)施窮舉攻擊（就是在已知一些條件的情況下，把所有的情況都試驗(yàn)一下）。封鎖31337(TCP和UDP)端口將使Back Orifice木馬程序更難攻擊你的網(wǎng)絡(luò)。

啟用MAC地址的過濾

ARP病毒威脅一直令我們比較心煩的問題，它基本上是通過改變網(wǎng)關(guān)的MAC地址實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的。根據(jù)企業(yè)的不同的網(wǎng)絡(luò)結(jié)構(gòu)，IP地址的分配原則，來實(shí)現(xiàn)IP/MAC地址的綁定。

內(nèi)部PC限制NAT的鏈接數(shù)量

NAT功能是在企業(yè)網(wǎng)中應(yīng)用最廣的功能，由于IP地址不足的原因，運(yùn)營商提供給企業(yè)網(wǎng)的一般就是1個(gè)IP地址，而企業(yè)網(wǎng)內(nèi)部有大量的PC，這么多的PC都要通過這唯一的一個(gè)IP地址進(jìn)行上網(wǎng)，如何做到這點(diǎn)呢?答案就是NAT(網(wǎng)絡(luò)IP地址轉(zhuǎn)換)。內(nèi)部PC訪問外網(wǎng)的時(shí)候，在企業(yè)路由器內(nèi)部建立一個(gè)對應(yīng)列表，列表中包含內(nèi)部PC的IP地址、訪問的外部IP地址，內(nèi)部的IP端口，訪問目的IP端口等信息，所以每次的ping、下載、WEB訪問，都有在企業(yè)路由器上建立對應(yīng)關(guān)系列表，如果該列表對應(yīng)的網(wǎng)絡(luò)鏈接有數(shù)據(jù)通訊，這些列表會一直保留在企業(yè)路由器中，如果沒有數(shù)據(jù)通訊了，也需要30-100秒才會消失掉。

開啟內(nèi)外網(wǎng)攻擊

只要有大量的人去ping這個(gè)網(wǎng)站，這個(gè)網(wǎng)站就會被摧毀，這個(gè)就是所謂的拒絕服務(wù)的攻擊，用大量的無用的數(shù)據(jù)請求，讓他無暇顧及正常的網(wǎng)絡(luò)請求。網(wǎng)絡(luò)上的黑客在發(fā)起攻擊前，都要對網(wǎng)絡(luò)上的各個(gè)IP地址進(jìn)行掃描，其中一個(gè)常見的掃描方法就是ping，如果有應(yīng)答，則說明這個(gè)ip地址是活動的，就是可以攻擊的，這樣就會暴露了目標(biāo)，同時(shí)如果在外部也有大量的報(bào)文對路由器發(fā)起Ping請求，也會把企業(yè)網(wǎng)的企業(yè)路由器拖跨掉。而多數(shù)路由器均有應(yīng)對這類攻擊安全防范措施。