设置路由 阻断局域网病毒传播路径2

设置路由 阻断局域网病毒传播路径2

Router#configure terminal

　　Enter configuration commands， one per line. End with CNTL/Z.

　　Router（config）#line aux 0

　　Router（config-line）#password test54ee

　　Router（config-line）#login

　　显然，配置密码时应该加强密码的混合度使非法入侵者不那么轻松破门而入进行大肆攻击路由器。不少管理员对超级用户密码进行设置时使用配置命令enable password，这就埋下了一大安全隐患。鉴于此，推荐用户使用enable secret命令对密码进行加密，这种加密采用了MD5散列算法较前一配置更为安全。

　　Router（config）#enable secret test54ee

　　图1

　　（2）过滤ICMP报文

　　恶性的ping是局域网病毒常常采用的攻击方式。病毒随机生成ping的目标地址，然后通过路由器来进行报文转发，因此在路由器中就需要为每个ping 的ICMP报文创建一条NAT的对应表。如果管理员在特权用户模式下查看该表时，若是用户看到大量的ICMP的NAT的session就应该警惕地想到是否已经中招（即遭到拒绝服务攻击）。

　　如果病毒恶性的发动ICMP的ping攻击，在几秒钟内发出上万个ping报文则会在NAT表中占用了大量的NAT的Session的连接。而UDP的NAT的SESSlON的存在时间为5秒，TCP连接的NAT的SESSION的保存时间为24小时，这种恶性的ping攻击便可能将NAT的SESSION的值全部占用。造成的后果是，正常的网络数据报文由于路由器的全部的NAT的SESSlON都被占用得不到NAT的服务会造成无法进行正常的网络通讯。因此，我们可以采用访问列表的方式将ICMP的报文过滤掉，保证正常的网络服务。我们可以通过下面命令屏蔽来自外部和内部的ICMP包。