巧设路由 阻断局域网病毒传播路径－应用技巧

毫无疑问，局域网是病毒木马的“温床”。某个客户端中毒往往会殃及池鱼感染其他客户端，甚至影响到整个局域网。如果这样，轻则吃掉带宽，重则形成网络故障甚至造成整个网络瘫痪，所有这些让网络管理员们谈毒色变。其实，在局域网的特殊节点上做好部署就能有效阻断病毒传播途径，从而预防因病毒造成的灾难性后果。其中，路由器就是非常关键的网络节点。下面以Cisco路由器为例，谈谈如何通过设置阻断局域网病毒。

1.阻断原理

路由器作为网络中的关键设备是否可以阻隔病毒的传染呢? 路由器作为内部PC机的跨网段访问的通道，如果我们将这些端口限制掉，便可以防止病毒通过路由器从外网进入同时也可以防止内部的病毒通过路由器向外传染病毒。

路由器作为NAT地址转换接入到Internet，在路由器的太口都配置防火墙将危险的目标端口所有的报文都限制掉，这样从Internet对内部网发起的攻击路由器将病毒攻击报文阻隔掉无法进入到内部网来。

另外，如果内部的PC已经感染了病毒也无法通过路由器将病毒的攻击报文传到外部网去。需要注意的是：通过路由器阻止病毒传播是建立在局域网子网划分的基础之上的。如果没有细化的子网病毒传染是无法阻隔的，因为同一个网段的PC的网络传输是不通过路由器进行报文转发的。好在规模较大的局域网都划分了子网，并且各子网直接通过路由器/交换机来隔离。

2.阻断措施

(1)端口加固

要想路由器这座城墙固若金汤，密码的设置当然非常重要。一般情况下，网络管理人员可以通过路由器的Console Aux和Ethernet口登录到路由器，然后进行配置。这种情况虽然方便了管理，但非法之徒也可以乘虚而入，所以给相应的端口加上密码是必须的常规配置方法。以Aux端口为例，命令如下：

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#line aux 0

Router(config-line)#password test54ee

Router(config-line)#login

显然，配置密码时应该加强密码的混合度使非法入侵者不那么轻松破门而入进行大肆攻击路由器。不少管理员对超级用户密码进行设置时使用配置命令enable password，这就埋下了一大安全隐患。鉴于此，推荐用户使用enable secret命令对密码进行加密，这种加密采用了MD5散列算法较前一配置更为安全。

Router(config)#enable secret test54ee