H3C路由器防病毒的配置步骤

本文给大家介绍的是如何在路由器上进行设置，以防止病毒造成危害，路由器作为NAT地址转换接入到Internet，在路由器的以太口都配置防火墙将危险的目标端口所有的报文都限制掉，这样从Internet对内部网发起的攻击路由器将病毒攻击报文阻隔掉无法进入到内部网来，同样如果内部的电脑已经感染了病毒也无法通过路由器将病毒的攻击报文传到外部网去。

　　通过路由器阻止病毒传播是建立在局域网子网划分的基础之上的，如果没有细化的子网病毒传染是无法阻隔的，因为同一个网段的电脑的网络传输是不通过路由器进行报文转发的。

　　一、端口过滤

　　在路由器的出口和入口创建访问列表来控制病毒的出入，这些访问控制列表都是基于端口的，我们可以通过察看数据包的数目，以调整他们的顺序，将转换多的包放在前面可以提高速度。

　　二、端口加固

　　可以通过路由器的Console Aux和Ethernet口登录到路由器，然后进行配置，这种情况虽然方便了管理，但非法之徒也可以乘虚而入，所以给相应的端口加上密码是必须的常规配置方法。以Aux端口为例，命令如下：

　　Router#configure terminal

　　Enter configuration commands, one per line. End with CNTL/Z.

　　Router(config)#line aux 0

　　Router(config-line)#password test54ee

　　Router(config-line)#login

　　三、路由器安全

　　路由器其IOS安全也是不容忽视的，要做好备份和升级，其次，路由日志安全也很重要，要做好备份策略，只要掌握病毒特点就可以利用路由器的本身功能在最大程度上将病毒拒之门外。

　　四、服务优化

　　1、路由器开启的服务要尽量地少，依据需要只开启所需的服务，禁掉一些不必要的服务，这样不仅节省内存，另外最大的好处就是安全性的提高。

　　2、可以关闭路由器的报文快速转发机制，通过关闭接口的报文快速转发机制，采用正常的报文转发机制便会杜绝路由器由于快速转发造成的内存不足问题。

　　3、其次在内存分配方面进行优化，关闭快速转发最后用户还应该检查是否已经正确的配置静态路由

　　五、过滤ICMP报文

　　1、有些病毒会随机生成ping的目标地址，然后通过路由器来进行报文转发，因此在路由器中就需要为每个ping的ICMP报文创建一条NAT的对应表，如果管理员在特权用户模式下查看该表时，若是用户看到大量的ICMP的NAT的session就应该警惕地想到是否已经中毒。

　　2、如果病毒恶性的发动ICMP的ping攻击，在几秒钟内发出上万个ping报文则会在NAT表中占用了大量的NAT的Session的连接，而UDP的NAT的SESSlON的存在时间为5秒，TCP连接的NAT的SESSION的保存时间为24小时。

　　3、这种恶性的ping攻击便可能将NAT的SESSION的值全部占用，造成正常的网络数据报文得不到NAT的服务，会造成无法进行正常的网络通讯，因此，我们可以采用访问列表的方式将ICMP的报文过滤掉。