1.物理结构的布局
如果路由器有一个以上的局域网端口,或几台路由器并行使用，可以根据访问性质进行分类，比如将供外部访问WWW、FTP和E-mail服务器集中放在一个端口上,将企业内部的WWW、FTP和数据库服务器放在路由器的其他端口上。这样便于对端口访问进行控制，对安全十分有利。即使黑客攻破了企业供外部访问的服务器,由于企业的其他机器和这些服务器不在同一个广播域,信息被窃听的可能性可以降到最低。

2.路由器的简单防火墙功能
（1）包过滤防火墙
目前常用的路由器一般都有访问列表（Access List），即包过滤防火墙功能。访问列表可以用于入口（Inbound），也可以用于出口（Outbound）。它可以对源和目的IP地址以及协议端口号进行过滤,用它可以控制哪些网络可以访问哪些服务器资源。使用访问列表一般有3个步骤：创建一个路由表；指定接口；定义方向。下面是一个配置实例。
# interface serial 0
（指定串口0。）
# access－group 101 in 
（定义接口产生的过滤方向。）
# access－list 101 deny ICMP any host 192.168.1.10 eq 8
（阻止以ICMP回波请求的形式产生Ping，防止对主机IP地址的恶意窥视。ICMP回波请求信息属于ICMP类型8。）
# access－list 101 permit ip any host 192.168.1.10 
（允许所有其他IP流向主机。）
# access－list 101 deny ip any any
（拒绝所有不需要的访问。）
（2）防止IP地址欺骗
IP地址欺骗是网络攻击的一种手段，外部用户可以使用企业网络中的IP地址作为源地址,从而对企业网络进行非法访问,我们可以在广域网接口上控制以内部IP地址作为源地址的非法访问。具体做法是在全局配置模式下,键入：
# access-list 101 deny ip xxxx wildcard any
（xxxx为企业网络的网络地址,wildcard为其掩码的反码，如掩码为255.255.255.0 其反码为0.0.0.255。一些网络高手往往先确定子网掩码，然后把它转换成可应用的通配符掩码，利用不同的掩码组合，可以指定不同的主机、网络设备，达到允许或拒绝数据包通过的目的。）
# access-list 101 permit ip any any
然后在广域网接口配置模式下键入：
# ip access-group 101 in
基于IP的Access-list列表有标准型和扩展型两种，标准型访问列表的功能有限，因为这种列表只能根据数据包的源地址进行过滤。如果需要根据协议、目标地址及传输层上的应用进行过滤，或根据上述项目的组合进行过滤，那么就必须使用扩展型访问列表。标准型列表和扩展型列表的区别是由List Number来确定的，标准型的范围是0～99，扩展型的范围是100～199之间。除基于IP Access-list的列表外，还有基于IPX、MAC的列表，它们的组和应用很多，有兴趣的朋友可以查阅路由器的技术文档，这里不再一一列举。

文章转载地址:http://www.365master.com/kt_article_show.php?article_id=80&categ_code=10041003