思科cisco依靠自身的技術和對網(wǎng)絡經(jīng)濟模式的深刻理解，使其成為了網(wǎng)絡應用的成功實踐者之一，其出產(chǎn)的cisco路由器設備也是全球一流，那么你知道怎么設置cisco路由器阻斷局域網(wǎng)病毒傳播路徑嗎?下面是學習啦小編整理的一些關于怎么設置cisco路由器阻斷局域網(wǎng)病毒傳播路徑的相關資料，供你參考。

　　設置cisco路由器阻斷局域網(wǎng)病毒傳播路徑的方法：

　　首先我們要了解阻斷原理是什么

　　cisco路由器作為網(wǎng)絡中的關鍵設備是否可以阻隔病毒的傳染呢? cisco路由器作為內(nèi)部PC機的跨網(wǎng)段訪問的通道，如果我們將這些端口限制掉，便可以防止病毒通過cisco路由器從外網(wǎng)進入同時也可以防止內(nèi)部的病毒通過cisco路由器向外傳染病毒。

　　cisco路由器作為NAT地址轉(zhuǎn)換接入到Internet，在cisco路由器的太口都配置防火墻將危險的目標端口所有的報文都限制掉，這樣從Internet對內(nèi)部網(wǎng)發(fā)起的攻擊cisco路由器將病毒攻擊報文阻隔掉無法進入到內(nèi)部網(wǎng)來。

　　另外，如果內(nèi)部的PC已經(jīng)感染了病毒也無法通過cisco路由器將病毒的攻擊報文傳到外部網(wǎng)去。需要注意的是：通過cisco路由器阻止病毒傳播是建立在局域網(wǎng)子網(wǎng)劃分的基礎之上的。如果沒有細化的子網(wǎng)病毒傳染是無法阻隔的，因為同一個網(wǎng)段的PC的網(wǎng)絡傳輸是不通過cisco路由器進行報文轉(zhuǎn)發(fā)的。好在規(guī)模較大的局域網(wǎng)都劃分了子網(wǎng)，并且各子網(wǎng)直接通過cisco路由器/交換機來隔離。

　　接著我們來看看阻斷措施有哪些

　　(1)端口加固

　　要想cisco路由器這座城墻固若金湯，密碼的設置當然非常重要。一般情況下，網(wǎng)絡管理人員可以通過cisco路由器的Console Aux和Ethernet口登錄到cisco路由器，然后進行配置。這種情況雖然方便了管理，但非法之徒也可以乘虛而入，所以給相應的端口加上密碼是必須的常規(guī)配置方法。以Aux端口為例，命令如下：

　　Router#configure terminal

　　Enter configuration commands, one per line. End with CNTL/Z.

　　Router(config)#line aux 0

　　Router(config-line)#password test54ee

　　Router(config-line)#login

　　顯然，配置密碼時應該加強密碼的混合度使非法入侵者不那么輕松破門而入進行大肆攻擊cisco路由器。不少管理員對超級用戶密碼進行設置時使用配置命令enable password，這就埋下了一大安全隱患。鑒于此，推薦用戶使用enable secret命令對密碼進行加密，這種加密采用了MD5散列算法較前一配置更為安全。

　　Router(config)#enable secret test54ee

　　(2)過濾ICMP報文

　　惡性的ping是局域網(wǎng)病毒常常采用的攻擊方式。病毒隨機生成ping的目標地址，然后通過cisco路由器來進行報文轉(zhuǎn)發(fā)，因此在cisco路由器中就需要為每個ping的ICMP報文創(chuàng)建一條NAT的對應表。如果管理員在特權用戶模式下查看該表時，若是用戶看到大量的ICMP的NAT的session就應該警惕地想到是否已經(jīng)中招(即遭到拒絕服務攻擊)。

　　如果病毒惡性的發(fā)動ICMP的ping攻擊，在幾秒鐘內(nèi)發(fā)出上萬個ping報文則會在NAT表中占用了大量的NAT的Session的連接。而UDP的NAT的SESSlON的存在時間為5秒，TCP連接的NAT的SESSION的保存時間為24小時，這種惡性的ping攻擊便可能將NAT的SESSION的值全部占用。造成的后果是，正常的網(wǎng)絡數(shù)據(jù)報文由于cisco路由器的全部的NAT的SESSlON都被占用得不到NAT的服務會造成無法進行正常的網(wǎng)絡通訊。因此，我們可以采用訪問列表的方式將ICMP的報文過濾掉，保證正常的網(wǎng)絡服務。我們可以通過下面命令屏蔽來自外部和內(nèi)部的ICMP包。

　　Router(Config)#access-list 110 deny icmp any any echo log

　　Router(Config)#access-list 110 deny icmp any any redirect log

　　Router(Config)#access-list 110 deny icmp any any mask-request log

　　Router(Config)#access-list 110 permit icmp any any

　　Router(Config)#access-list 111 permit icmp any any echo

　　Router(Config)#access-list 111 permit icmp any any Parameter-problem

　　Router(Config)#access-list 111 permit icmp any any packet-too-big

　　Router(Config)#access-list 111 permit icmp any any source-quench

　　Router(Config)#access-list 111 deny icmp any any log

　　(3)端口過濾

　　在cisco路由器的出口和入口創(chuàng)建訪問列表來控制病毒的出入，這些訪問控制列表都是基于端口(比如135、136、445、4444等)的。通常情況下，管理員可通過察看數(shù)據(jù)包的數(shù)目，以調(diào)整他們的順序，將轉(zhuǎn)換多的包放在前面可以提高速度。

　　Router(Config)#Access-list 110 deny tcp any any eq 135

　　Router(Config)#Access-list 110 deny udp any any eq 135

　　Router(Config)#Access-list 110 deny tcp any any eq 136

　　Router(Config)#Access-list 110 deny udp any any eq 136

　　Router(Config)#Access-list 110 deny tcp any any eq 445

　　Router(Config)#Access-list 110 deny udp any any eq 445

　　Router(Config)#Access-list 110 deny tcp any any eq 4444

　　Router(Config)#Access-list 110 deny udp any any eq 4444

　　按照上述方式，將列表應用到相應的端口即可以了。