當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

巧設(shè)路由阻斷局域網(wǎng)病毒傳播路徑

http://www.yibo1263.com　2010/8/24 7:36:44 　來源:東北IT網(wǎng) 　編輯:葉子

　　毫無疑問，局域網(wǎng)是病毒木馬的“溫床”。某個客戶端中毒往往會殃及池魚感染其他客戶端，甚至影響到整個局域網(wǎng)。如果這樣，輕則吃掉帶寬，重則形成網(wǎng)絡(luò)故障甚至造成整個網(wǎng)絡(luò)癱瘓，所有這些讓網(wǎng)絡(luò)管理員們談毒色變。其實，在局域網(wǎng)的特殊節(jié)點上做好部署就能有效阻斷病毒傳播途徑，從而預(yù)防因病毒造成的災(zāi)難性后果。其中，路由器就是非常關(guān)鍵的網(wǎng)絡(luò)節(jié)點。下面以Cisco路由器為例，談?wù)勅绾瓮ㄟ^設(shè)置阻斷局域網(wǎng)病毒。

　　1.阻斷原理

　　路由器作為網(wǎng)絡(luò)中的關(guān)鍵設(shè)備是否可以阻隔病毒的傳染呢? 路由器作為內(nèi)部PC機的跨網(wǎng)段訪問的通道，如果我們將這些端口限制掉，便可以防止病毒通過路由器從外網(wǎng)進入同時也可以防止內(nèi)部的病毒通過路由器向外傳染病毒。

　　路由器作為NAT地址轉(zhuǎn)換接入到Internet，在路由器的太口都配置防火墻將危險的目標(biāo)端口所有的報文都限制掉，這樣從Internet對內(nèi)部網(wǎng)發(fā)起的攻擊路由器將病毒攻擊報文阻隔掉無法進入到內(nèi)部網(wǎng)來。

　　另外，如果內(nèi)部的PC已經(jīng)感染了病毒也無法通過路由器將病毒的攻擊報文傳到外部網(wǎng)去。需要注意的是：通過路由器阻止病毒傳播是建立在局域網(wǎng)子網(wǎng)劃分的基礎(chǔ)之上的。如果沒有細化的子網(wǎng)病毒傳染是無法阻隔的，因為同一個網(wǎng)段的PC的網(wǎng)絡(luò)傳輸是不通過路由器進行報文轉(zhuǎn)發(fā)的。好在規(guī)模較大的局域網(wǎng)都劃分了子網(wǎng)，并且各子網(wǎng)直接通過路由器/交換機來隔離。

　　2.阻斷措施

　　(1)端口加固

　　要想路由器這座城墻固若金湯，密碼的設(shè)置當(dāng)然非常重要。一般情況下，網(wǎng)絡(luò)管理人員可以通過路由器的Console Aux和Ethernet口登錄到路由器，然后進行配置。這種情況雖然方便了管理，但非法之徒也可以乘虛而入，所以給相應(yīng)的端口加上密碼是必須的常規(guī)配置方法。以Aux端口為例，命令如下：

　　Router#configure terminal

　　Enter configuration commands, one per line. End with CNTL/Z.

　　Router(config)#line aux 0

　　Router(config-line)#password test54ee

　　Router(config-line)#login

　　顯然，配置密碼時應(yīng)該加強密碼的混合度使非法入侵者不那么輕松破門而入進行大肆攻擊路由器。不少管理員對超級用戶密碼進行設(shè)置時使用配置命令enable password，這就埋下了一大安全隱患。鑒于此，推薦用戶使用enable secret命令對密碼進行加密，這種加密采用了MD5散列算法較前一配置更為安全。

　　Router(config)#enable secret test54ee　　

　　局域網(wǎng)

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

·三大絕招立刻剿殺局域網(wǎng)頑固病毒

·防止局域網(wǎng)病毒屢殺不凈的三大絕招

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费