不当设置可让企业路由器形同虚设

    “我被安全路由器给忽悠了！”张路（化名）十分气愤的说。张路所在单位前些日子购买了安全路由器，当他看到安全路由器的防御能力介绍后，对单位网络安全问题增强了很多信心。可是好日子没过几天，单位就中了ARP病毒，并遭受了DDoS攻击，使得单位内部网络经常性掉线，即便是能凑合使也是网速如蜗牛爬。

    这里不得不说，小张对安全路由器的理解有失偏颇。因为即便是企业已经部署了安全路由器产品，而且其安全功能十分强大，假若使用者对其安全策略设置不当，病毒与攻击也可轻松地绕过安全路由器，对企业的内部网络终端设备发动攻击。这时路由器安全功能形同虚设。

    众所周知，随互联网快速发展，国内企业用户的网络规模日益增长。随之而来的信息安全问题，已经成为众多企业用户最为关心的几大问题之一。就目前大多数用户而言，解决网关安全问题采用的手段多以部署安全路由器或用防火墙构建安全体系为主。

    目前，多数制造商对其路由器产品均增加安全功能。然而路由器设备一般在出厂时，厂商在安全功能上都不会进行任何设置。用户或者是集成商要根据企业的需要不同，进行针对性设置，以实现更好的防范效果。

    为了大家不要像小张那样吃一个暗亏，今天笔者将依据多年的使用经验，介绍一下如何设置好企业级路由器，让路由器的发挥更好的价值。这也算是抛砖引玉吧。

    产品说明书十分重要，而这却是我们在网络管理工作中常常忽略的。因此我建议你首先做的，就是要阅读路由器的说明书，看一看它能够实现那些功能，及实现后的效果如何；其次，你可以上网搜索一下，看看你使用的这个产品，还有哪些卖点。不过，有一点可以肯定——大多数路由器在默认状态下，安全功能是不会被启用的。设置路由器的安全功能，正是我们防范网络病毒，抵御DDoS攻击最为重要的一步。那么我们就开始进行设置：

　　启用ACL防网络病毒功能

　　对于网络安全要求等级较高的企业来说，在存储或者传输加密数据的时候，通常要求经过允许才可以过滤。在这种规定中，除了网路功能需要的之外，所有的端口和IP地址都必要要封锁。例如，用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问，而所有其它端口和地址都需要关闭。

　　大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时，需要封锁你网络中没有使用的端口，同时还要封锁通常被特洛伊木马以及非法网络侦测活动所使用的端口，以此增强网络的安全性。例如，封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击（就是在已知一些条件的情况下，把所有的情况都试验一下）。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。开启该功能，如图一

图一

    启用MAC地址的过滤

    ARP病毒威胁一直令我们比较心烦的问题，它基本上是通过改变网关的MAC地址实现网络攻击的。根据企业的不同的网络结构，IP地址的分配原则，来实现IP/MAC地址的绑定。如图二

 

图二

 

[1] [2] 下一页