路由器配置是否安全，對于中小企業也是非常重要的，可能好多人還不了解路由器配置的具體步驟和方法，沒有關系，看完本文你肯定有不少收獲，希望本文能教會你更多東西。綜合Qno俠諾技術服務部的實際支持經驗，一般中小企業在進行安全路由器配置時，需要特別注意的有廣域網端、局域網端及公共服務器三個方面。以下分別就這三個方面加以介紹。

一、廣域網端

廣域網端就是路由器配置對外接到網絡運營商的線路。廣域網線路也是寬帶接入的主要路徑，因此若是發生掉線或是擁塞，則企業的寬帶接入就會中斷！這個情況對于有些企業會發生很大的困擾。因此廣域網端在安全的首要思維，就是如何確保線路的穩定，維持企業在各種情況下的運作。

大部份中小企業，由于上網人數較小、或是經費有限，因此大多采用單線ADSL即可。企業對帶寬的需要較大，或是對于網絡要求較高的，例如服務業或是外貿行業，則可能采用相對費用較高的光纖。根據Qno俠諾支持用戶的經驗，發現以下情況，較傾向采用多WAN線路的配置：偶而需要大量上／下載：由于信息化的結果，很多企業需要不時進行大量的上下載的操作。例如成都的某礦產商貿公司每天下班時，需要上傳銷售報告及存貨數據，需要較多的時間。又例如位于寧波的某民營企業，經常需要從國外客戶的服務器下載設計圖作為生產之用。當要進行下載時，網管一般都不希望受到一般用戶上網或下載影響，因此可申請兩條線路：一般情況下兩條線路都開放作為用戶上網用；但是當需要進行特別工作時，則可加以管制，保留特定的線路給大量上下載的工作，以確保重要的數據能準時傳送。采用多WAN配置后，網管加班在辦公室等待數據傳送的情況，就可大大減少了！

有跨網問題時：山東濟南某農產品的商貿公司，常常需要和在北京的總部建立VPN聯機，但是不知道為什么，聯機總是很不穩定，常常數據還沒傳完，又得重新聯機。這種情況，很可能就是VPN建立跨過不同的運營商網絡所產生的不穩定問題，例如總部采用網通的線路，而分支采用電信的線路，跨網帶寬不足，而產生的現象。這種情況，也可采用多WAN路由器解決，即總部同時接入網通及電信的線路，屬于網通線路的外點從網通的入口建立VPN，電信的外點則從電信線路建VPN，這樣即可解決跨網帶寬小或不穩定的情況。

需要備援時：多WAN線路的另一個優點是提供備援功能。一個常見的情況是有些地區運營商會增送光纖用戶ADSL線路，這時就可以光纖配合ADSL作備援，在前者發生故障時，以ADSL先頂著用。有的用戶則希望用不同運營商的線路，這樣在A運營商線路或機房發生問題時，可以B運營商線路替代。對于某些行業，例如媒體行業，需要隨時可以上網，這個功能就顯得尢為重要。

AD帶寬不足時：一般企業用ADSL來的多，根據統計顯示中小企業寬帶用戶增加最多的就是采用ADSL上網。但有些地區提供的ADSL相對帶寬顯得較小，例如64K/64K的線路，對于企業應用顯然不足，不過申請光纖又比幾條ADSL還來得貴，在這種情況下，利用多WAN路由器配置匯聚多條ADSL線路，不失為一可行又省錢的方法。由于廣域網端為企業上網唯一的路線，因此對于企業上網有決定性的重要。Qno俠諾的市場調查顯示，現階段很多企業對于無線寬帶接入，例如3G或是WiMax都表示了相當的興趣，希望能用無線接入作為有線接入的輔助，這或多或少也代表了企業對于廣域網端接入的重視及期望。

二、局域網端

局域網端則是對內接到企業用戶的線路，有些路由器配置本身有局域網端口，可下接交換機；有的網管則會將路由器配置先接到骨干交換機，再向下接到一般的交換機。以上這兩種作法均可，后者適合較大的吞吐量的應用情況，一般的企業應用，路由器配置的局域端口是可以隨著帶寬轉發的。因此在硬件配置，這是較為簡單的。Qno俠諾技術服務人員的經驗指出，要進行一個好的安全網絡的配置，IP的管理是頂重要的。IP就是計算機在互聯網的地址，因此要能有效管理地址，才能預防攻擊或針對有問題的計算機加以管制。對于網管而言，在IP管理方面要注意的事項，主要為計算機采用固定IP地址、DHCP服務器發放固定IP、防止未允許的計算機上網及群組管理等四個重要項目，以下分別進行說明：

計算機采用固定IP地址：計算機采用固定IP地址，是最嚴密的配置方式。這個作法，必須要求用戶在計算機中手動鍵入IP地址相關數據。這樣做的好處是每臺機器的IP都必須是事先指定，沒有事先指定的IP，則無法上網，外來的用戶或是計算機不能輕易地通過企業網絡上網。不過對于用戶而言，必須要設定固定IP，到其它場合又要重新設定，對于部份常需要移動的用戶，例如業務人員或是高階主管，造成不小的困擾。DHCP服務器發放固定IP：DHCP服務器的好處是用戶無需在計算機上作任何設置，對于用戶較方便。但是DHCP的缺點是若不加以管制，隨便一個用戶也能進入企業的網絡，也容易發動對內部的攻擊，造成影響。因此對于企業而言，較好的方式是通過DHCP發放IP地址，但同時限定計算機能取得的IP地址，以便進行管理。Qno俠諾路由器配置的IP/MAC綁定功能，即可以根據網管的配置，認明計算機的MAC地址發放特定的IP，這樣就可針對IP進行管理。同時IP/MAC綁定功能也可防止用戶修改IP，以取得較高權限問題，錯誤的MAC/IP組合，將會被路由器“封鎖錯誤MAC地址”阻擋，這個功能也可防止ARP攻擊。

防止未允許的計算機上網：對于網管而言，未被管制的計算機，經常引發安全問題。有些用戶會自行帶入中毒的計算機，甚至其它樓層用戶通過無線網絡進入公司網絡。這樣的情況，可通過防止未允許的計算機上網來解決。Qno俠諾的IP/MAC綁定功能中，提供“封鎖不在對應表列中MAC地址”功能，達到網管未配置的MAC地址完全無法上網的作用。

Qno俠諾路由器的IP/MAC綁定功能

Qno俠諾路由器配置的IP/MAC綁定功能，網管可將用戶的IP及MAC地址鍵入，這樣可以達到使用DHCP服務時，每次發放固定IP給用戶。另外“封鎖錯誤MAC地址”及“封鎖不在對應表列中MAC地址”則可提供更進階的功能，提供進一層的安全保障。群組管理：除了IP/MAC綁定，可有效管制用戶外，另外適當采用群組的功能，也能更方便的對用戶加以管理。例如Qno俠諾提供的IP群組功能，就能將不同的IP用戶設為不同群組，例如企業高階主管設為一組、業務部門設為一組、內部行政人員設為一組。不同群組的用戶，適用不同的管制權限或是帶寬管理原則，這個功能可以大幅簡化管理工作，也可避免管制時出現漏網之魚的現象。