怎么设置cisco路由器阻断局域网病毒传播路径

思科cisco依靠自身的技术和对网络经济模式的深刻理解，使其成为了网络应用的成功实践者之一，其出产的cisco路由器设备也是全球一流，那么你知道怎么设置cisco路由器阻断局域网病毒传播路径吗?下面是小编整理的一些关于怎么设置cisco路由器阻断局域网病毒传播路径的相关资料，供你参考。

设置cisco路由器阻断局域网病毒传播路径的方法：

首先我们要了解阻断原理是什么

cisco路由器作为网络中的关键设备是否可以阻隔病毒的传染呢? cisco路由器作为内部PC机的跨网段访问的通道，如果我们将这些端口限制掉，便可以防止病毒通过cisco路由器从外网进入同时也可以防止内部的病毒通过cisco路由器向外传染病毒。

cisco路由器作为NAT地址转换接入到Internet，在cisco路由器的太口都配置防火墙将危险的目标端口所有的报文都限制掉，这样从Internet对内部网发起的攻击cisco路由器将病毒攻击报文阻隔掉无法进入到内部网来。

另外，如果内部的PC已经感染了病毒也无法通过cisco路由器将病毒的攻击报文传到外部网去。需要注意的是：通过cisco路由器阻止病毒传播是建立在局域网子网划分的基础之上的。如果没有细化的子网病毒传染是无法阻隔的，因为同一个网段的PC的网络传输是不通过cisco路由器进行报文转发的。好在规模较大的局域网都划分了子网，并且各子网直接通过cisco路由器/交换机来隔离。

接着我们来看看阻断措施有哪些

(1)端口加固

要想cisco路由器这座城墙固若金汤，密码的设置当然非常重要。一般情况下，网络管理人员可以通过cisco路由器的Console Aux和Ethernet口登录到cisco路由器，然后进行配置。这种情况虽然方便了管理，但非法之徒也可以乘虚而入，所以给相应的端口加上密码是必须的常规配置方法。以Aux端口为例，命令如下：

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#line aux 0

Router(config-line)#password test54ee

Router(config-line)#login

显然，配置密码时应该加强密码的混合度使非法入侵者不那么轻松破门而入进行大肆攻击cisco路由器。不少管理员对超级用户密码进行设置时使用配置命令enable password，这就埋下了一大安全隐患。鉴于此，推荐用户使用enable secret命令对密码进行加密，这种加密采用了MD5散列算法较前一配置更为安全。

Router(config)#enable secret test54ee

(2)过滤ICMP报文

恶性的ping是局域网病毒常常采用的攻击方式。病毒随机生成ping的目标地址，然后通过cisco路由器来进行报文转发，因此在cisco路由器中就需要为每个ping的ICMP报文创建一条NAT的对应表。如果管理员在特权用户模式下查看该表时，若是用户看到大量的ICMP的NAT的session就应该警惕地想到是否已经中招(即遭到拒绝服务攻击)。

如果病毒恶性的发动ICMP的ping攻击，在几秒钟内发出上万个ping报文则会在NAT表中占用了大量的NAT的Session的连接。而UDP的NAT的SESSlON的存在时间为5秒，TCP连接的NAT的SESSION的保存时间为24小时，这种恶性的ping攻击便可能将NAT的SESSION的值全部占用。造成的后果是，正常的网络数据报文由于cisco路由器的全部的NAT的SESSlON都被占用得不到NAT的服务会造成无法进行正常的网络通讯。因此，我们可以采用访问列表的方式将ICMP的报文过滤掉，保证正常的网络服务。我们可以通过下面命令屏蔽来自外部和内部的ICMP包。

Router(Config)#access-list 110 deny icmp any any echo log

Router(Config)#access-list 110 deny icmp any any redirect log

Router(Config)#access-list 110 deny icmp any any mask-request log

Router(Config)#access-list 110 permit icmp any any

Router(Config)#access-list 111 permit icmp any any echo

Router(Config)#access-list 111 permit icmp any any Parameter-problem

Router(Config)#access-list 111 permit icmp any any packet-too-big

Router(Config)#access-list 111 permit icmp any any source-quench

Router(Config)#access-list 111 deny icmp any any log

(3)端口过滤

在cisco路由器的出口和入口创建访问列表来控制病毒的出入，这些访问控制列表都是基于端口(比如135、136、445、4444等)的。通常情况下，管理员可通过察看数据包的数目，以调整他们的顺序，将转换多的包放在前面可以提高速度。

Router(Config)#Access-list 110 deny tcp any any eq 135

Router(Config)#Access-list 110 deny udp any any eq 135

Router(Config)#Access-list 110 deny tcp any any eq 136

Router(Config)#Access-list 110 deny udp any any eq 136

Router(Config)#Access-list 110 deny tcp any any eq 445

Router(Config)#Access-list 110 deny udp any any eq 445

Router(Config)#Access-list 110 deny tcp any any eq 4444

Router(Config)#Access-list 110 deny udp any any eq 4444

按照上述方式，将列表应用到相应的端口即可以了。