路由器安全配置：快速指南

1.路由器安全配置

路由器有一个以上的局域网端口，可以根据访问性质分配端口，比如将供外部访问的WWW、FTP和E-mail服务器集中放在一个端口上，将单位内部的OA、资源平台和数据库服务器放在路由器的其他端口上。这样便于对端口访问进行控制，即使黑客攻破了单位供外部访问的服务器，但由于其他机器和这些服务器不在同一个广播域，信息被窃取或遭受破坏的可能性可以降至最低。

目前常用的路由器一般都可设置访问控制列表（Access Control List，ACL），即具有包过滤防火墙功能。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

访问控制列表（ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

ACL可实现对IP数据包的过滤。对路由器需要转发的数据包，先获取数据包的包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等，然后和设定的ACL规则进行比较，根据比较的结果决定对数据包进行转发或者丢弃。使用访问列表一般有3个步骤：创建一个路由表、指定接口、定义方向。

目前，路由器基于IP的访问控制列表有标准型和扩展型两种，标准型访问控制列表的功能有限，因为这种列表只能根据数据包的源地址进行过滤。如果需要根据协议、目标地址及传输层上的应用进行过滤，或根据上述项目的组合进行过滤，那么就必须使用扩展型访问控制列表。标准型访问控制列表和扩展型访问控制列表的区别是由List Number来确定的，标准型的范围是0～99；扩展型的范围是100～199。

2.路由器ACL配置实例

（1）标准访问控制列表

路由器较为简单的是标准访问控制列表，通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1～99来创建相应的ACL。它的具体格式如下。

例如，access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。

当然也可以用网段来表示，对某个网段进行过滤。命令如下。

通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。思科等厂家规定在ACL中用反向掩码表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为 255.255.255.0。对于标准访问控制列表来说，默认的命令是host，也就是说access-list 10deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通信，可以省去输入host命令。(www.xing528.com)

如要实现禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问，而172.16.4.0/24中的其他计算机可以正常访问，如图7-19所示。

图7-19 路由器标准ACL配置

路由器配置命令如下。

（2）可扩展访问控制列表

如果希望将过滤细到端口，或者希望对数据包的目的地址进行过滤，需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效地容许用户访问物理LAN而并不容许他使用某个特定服务（如WWW、FTP等）。扩展访问控制列表使用的ACL号为100～199。

扩展ACL功能很强大，可以控制源IP、目的IP、源端口、目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口的IP。缺点是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。

如图7-19所示，路由器连接了两个网段，分别为172.16.4.0/24，172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务，IP地址为172.16.4.13。要实现禁止172.16.3.0的计算机访问172.16.4.0的计算机，包括那台服务器，不过唯独可以访问172.16.4.13上的WWW服务，而其他服务不能访问。路由器配置命令如下。

设置完毕后，172.16.3.0的计算机就无法访问172.16.4.0的计算机了，就算是服务器172.16.4.13开启了FTP服务也无法访问，唯独可以访问的就是172.16.4.13的WWW服务了。而172.16.4.0的计算机访问172.16.3.0的计算机没有任何问题。

扩展ACL有一个最大的好处就是可以保护服务器，例如，很多服务器为了更好地提供服务，都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的几率。如本例就是仅仅将80端口对外界开放。