之前在《路由器多WAN口方式解決訪問不同專線接入的服務器》中介紹了通過對路由器做一些設置，來基本解決内部業務計算機同時訪問兩個或多個不同外網的業務服務器的業務需求，但安全方面對于企業同樣重要，因此還至少需要在路由器中做些如修改路由器初始密碼、啟用IDS防攻擊、加入一些防火牆策略等基本配置，從而在一定程度上提高企業網絡安全防護能力。

本次依舊采用比較常用的H3C ER系列路由器的圖形操作界面作為示例進行演示，如何進行管理界面請參照《路由器多WAN口方式解決訪問不同專線接入的服務器》中的演示。

一、修改路由器密碼

如果是新路由器，記得及時修改默認密碼，另外密碼最好是大小寫字母、數字和特殊符号的組合，不容易讓人猜測出來。通過點擊管理界面中的設備管理→用戶管理→密碼管理進行修改，密碼修改界面如圖1。

圖1 密碼修改

二、限制登錄計算機

限制哪些計算機可以對路由器進行配置管理，可以點擊管理界面中的設備管理→用戶管理→密碼管理界面，設置局域網内允許管理路由器的用戶 IP 地址範圍來實現，具體是在“LAN 内管理 PC 的 IP 範圍”文本框中輸入允許管理路由器的局域網内部 IP 地址範圍；同時可以在“超時時間”文本框中輸入時間參數，設置 Web 用戶超時時間，這樣可以在管理員打開路由器管理界面後暫時離開或忘記關閉時，一旦超時就會自動退出管理界面，預防未經允許的其他人趁管理員不在進行操作）；還可以 開啟 登錄頁面驗證碼功能，選擇功能狀态為“啟用”）。操作如圖2所示，均需要單擊“應用”按鈕生效。

圖2 登錄管理

三、防網絡攻擊設置

H3C ER系列路由器具備一些防網絡攻擊功能，我們可以進行下面一些設置來提高安全性。

（一）點擊管理界面中的安全專區→防攻擊→IDS防範界面，勾選“啟用IDS防範功能”，選擇“丢棄攻擊報文，并記入日志”，然後将下面的所有攻擊前面的方框都勾選，最後單擊“應用”按鈕生效，如圖3所示。

圖3 防攻擊設置

（二）通過綁定ARP和開啟ARP防護功能，來防止受到ARP攻擊和欺騙。點擊管理界面中的安全專區→ARP安全→ARP綁定界面，H3C ER系列路由器會自動列出ARP表項即IP地址與MAC地址的對應表項，點擊表中最左側的“鉛筆”圖标，再點擊列表上方的“靜态綁定”，會彈出确認窗口，點擊“确定”按鈕後，就完成了該IP地址與網卡的MAC地址對的綁定。重複該步驟将所有記錄進行綁定，如圖4所示。

然後點擊管理界面中的安全專區→ARP安全→ARP防護界面，按圖5所示進行勾選，單擊“應用”按鈕生效。

圖5 ARP防護

（三）設置防火牆

1、首先打開防火牆功能，點擊管理界面中的安全專區→防火牆→防火牆設置，勾選“啟用防火牆功能”，單擊“應用”按鈕生效，如圖6所示。

圖6 啟用防火牆

2、然後點擊安全專區→防火牆→入站通信策略，将“入站通信缺省策略”設置為“禁止”，單擊“應用”按鈕生效，如圖7所示。

3、類似的操作，将“出站通信缺省策略”就默認為“允許”（如果隻訪問少量的外網業務，而且知道外網服務器的IP地址，也可以将“出站通信缺省策略”設置為“禁止”，然後通過新增策略來開通，這樣相對更安全一點。本次介紹因為主要還是假設用戶不熟悉網絡專業，不清楚需要訪問的外網服務器IP地址，所以設置為允許），操作與圖7類似。

圖7 入站通信策略

4、接着在出站通信策略的頁面中，新增少量的策略——封住幾個常被網絡或蠕蟲病毒利用的服務端口（如135～139、445、3389），來提高安全性。下面我們來添加封堵445的策略：

（1）點擊安全專區→防火牆→安全站通信策略→服務類型，然後點擊新增，在新彈出的窗口中，服務類型一欄中輸入“445”，協議類型缺省為“ALL”即可，目的端口範圍欄因為隻有一個端口所以都為“445”，如圖8所示。其他端口也在服務類型窗口中依次照此添加。（路由器預置了一些服務類型，可以先查看一下，沒有重複的端口再添加，以節省資源）

圖8 添加服務類型

（2）接下來就可以添加策略了，點擊安全專區→防火牆→入站通信策略，在服務類型選項欄中選中“445”用以封堵外出的目的端口，其它默認即可，點擊“增加”按鈕，如圖9。其他135～139、445服務端口也照此操作。

圖9 添加防火牆策略

（3）為謹慎起見，還可以對源455端口向外的通信方向封住，點擊安全專區→防火牆→入站通信策略，在源端口範圍欄中起止端口均輸入“445”，其它默認，點擊“增加”按鈕，如圖10。其他135～139、445服務端口也照此操作即可。

圖10 封堵向外的源端口

到此，作為對網絡專業不熟悉的用戶應該可以仿照對路由器進行設置。更精細一些的設置往往需要了解網絡号和子網掩碼的計算才好進行。當然對于網絡安全而言，隻在路由器做些設置是不夠的，對于安全需求很高的單位，需要從網絡出口節點到終端、從技術到制度等進行全方位規劃、實施，做到人、技術、制度三者相互作用，另外網絡安全是一個動态過程，需要不斷改進和完善。

注：路由器中如果設置的條目過多，會占用更多的路由器運行内存和存儲空間，可能引起路由器性能下降，嚴重者可能造成路由器癱瘓。

以上文字希望能為有需求的網友有所幫助，另以上輸入和描述可能有疏漏、錯誤，歡迎大家在下面讨論、留言指正！

将：

《windows設置雙IP網關解決訪問不同專線接入的服務器》

《路由器多WAN口方式解決訪問不同專線接入的服務器》

附在文字最後，便于大家參考對照。