如何進行有效的企業路由器設置？是企業的相關人員需要認真總結的。“我被安全路由器給忽悠了！”張路（化名）十分氣憤的說。張路所在單位前些日子購買了企業路由器，當他看到企業路由器的防御能力介紹后，對單位網絡安全問題增強了很多信心。可是好日子沒過幾天，單位就中了ARP病毒，并遭受了DDoS攻擊，使得單位內部網絡經常性掉線，即便是能湊合使也是網速如蝸牛爬。

這里不得不說，小張對安全路由器的理解有失偏頗。因為即便是企業已經部署了安全路由器產品，而且其安全功能十分強大，假若使用者對其安全策略設置不當，病毒與攻擊也可輕松地繞過企業路由器，對企業的內部網絡終端設備發動攻擊。這時企業路由器安全功能形同虛設。眾所周知，隨互聯網快速發展，國內企業用戶的網絡規模日益增長。隨之而來的信息安全問題，已經成為眾多企業用戶最為關心的幾大問題之一。就目前大多數用戶而言，解決網關安全問題采用的手段多以部署安全路由器或用防火墻構建安全體系為主。

目前，多數制造商對其企業路由器產品均增加安全功能。然而路由器設備一般在出廠時，廠商在安全功能上都不會進行任何設置。用戶或者是集成商要根據企業的需要不同，進行針對性設置，以實現更好的防范效果。為了大家不要像小張那樣吃一個暗虧，今天筆者將依據多年的使用經驗，介紹一下如何設置好企業路由器，讓路由器的發揮更好的價值。這也算是拋磚引玉吧。產品說明書十分重要，而這卻是我們在網絡管理工作中常常忽略的。因此我建議你首先做的，就是要閱讀路由器的說明書，看一看它能夠實現那些功能，及實現后的效果如何；其次，你可以上網搜索一下，看看你使用的這個產品，還有哪些賣點。不過，有一點可以肯定——大多數路由器在默認狀態下，安全功能是不會被啟用的。設置企業路由器的安全功能，正是我們防范網絡病毒，抵御DDoS攻擊最為重要的一步。那么我們就開始進行設置：

啟用ACL防網絡病毒功能

對于網絡安全要求等級較高的企業來說，在存儲或者傳輸加密數據的時候，通常要求經過允許才可以過濾。在這種規定中，除了網路功能需要的之外，所有的端口和IP地址都必要要封鎖。例如，用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問，而所有其它端口和地址都需要關閉。大多數網絡將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當使用這種過濾政策時，需要封鎖你網絡中沒有使用的端口，同時還要封鎖通常被特洛伊木馬以及非法網絡偵測活動所使用的端口，以此增強網絡的安全性。例如，封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網絡實施窮舉攻擊（就是在已知一些條件的情況下，把所有的情況都試驗一下）。封鎖31337(TCP和UDP)端口將使Back Orifice木馬程序更難攻擊你的網絡。

啟用MAC地址的過濾

ARP病毒威脅一直令我們比較心煩的問題，它基本上是通過改變網關的MAC地址實現網絡攻擊的。根據企業的不同的網絡結構，IP地址的分配原則，來實現IP/MAC地址的綁定。

內部PC限制NAT的鏈接數量

NAT功能是在企業網中應用最廣的功能，由于IP地址不足的原因，運營商提供給企業網的一般就是1個IP地址，而企業網內部有大量的PC，這么多的PC都要通過這唯一的一個IP地址進行上網，如何做到這點呢?答案就是NAT(網絡IP地址轉換)。內部PC訪問外網的時候，在企業路由器內部建立一個對應列表，列表中包含內部PC的IP地址、訪問的外部IP地址，內部的IP端口，訪問目的IP端口等信息，所以每次的ping、下載、WEB訪問，都有在企業路由器上建立對應關系列表，如果該列表對應的網絡鏈接有數據通訊，這些列表會一直保留在企業路由器中，如果沒有數據通訊了，也需要30-100秒才會消失掉。

開啟內外網攻擊

只要有大量的人去ping這個網站，這個網站就會被摧毀，這個就是所謂的拒絕服務的攻擊，用大量的無用的數據請求，讓他無暇顧及正常的網絡請求。網絡上的黑客在發起攻擊前，都要對網絡上的各個IP地址進行掃描，其中一個常見的掃描方法就是ping，如果有應答，則說明這個ip地址是活動的，就是可以攻擊的，這樣就會暴露了目標，同時如果在外部也有大量的報文對路由器發起Ping請求，也會把企業網的企業路由器拖跨掉。而多數路由器均有應對這類攻擊安全防范措施。