路由器作为NAT地址转换接入到Internet,在路由器的以太口都配置防火墙将危险的目标端口所有的报文都限制掉,这样从Internet对内部网发起的攻击路由器将病毒攻击报文阻隔掉无法进入到内部网来,同样如果内部的电脑已经感染了病毒也无法通过路由器将病毒的攻击报文传到外部网去。

通过路由器阻止病毒传播是建立在局域网子网划分的基础之上的,如果没有细化的子网病毒传染是无法阻隔的,因为同一个网段的电脑的网络传输是不通过路由器进行报文转发的。 一、端口过滤 在路由器的出口和入口创建访问列表来控制病毒的出入,这些访问控制列表都是基于端口的,我们可以通过察看数据包的数目,以调整他们的顺序,将转换多的包放在前面可以提高速度。 二、端口加固 可以通过路由器的Console Aux和Ethernet口登录到路由器,然后进行配置,这种情况虽然方便了管理,但非法之徒也可以乘虚而入,所以给相应的端口加上密码也是常规配置方法。 三、路由器安全 路由器其IOS安全也是不容忽视的,要做好备份和升级,其次,路由日志安全也很重要,要做好备份策略,只要掌握病毒特点就可以利用路由器的本身功能在大程度上将病毒拒之门外。 四、服务优化 1、路由器开启的服务要尽量地少,依据需要只开启所需的服务,禁掉一些不必要的服务,这样不仅节省内存,另外好处就是安全性的提高。 2、可以关闭路由器的报文快速转发机制,通过关闭接口的报文快速转发机制,采用正常的报文转发机制便会杜绝路由器由于快速转发造成的内存不足问题。 3、其次在内存分配方面进行优化,关闭快速转发用户还应该检查是否已经正确的配置静态路由.
|