安全分析：

有過路由器配置經驗的讀者應該知道網絡管理員經常通過在路由器或交換機上設置訪問控制列表來完成防范病毒和黑客的作用。Cisco出品的路由器或交換機的訪問控制列表都默認在結尾添加了“DENY ANY ANY”語句，這句話的意思是將所有不符合訪問控制列表（ACL）語句設定規(guī)則的數(shù)據(jù)包丟棄。

最近筆者所在公司添置了華為的2621系列路由器，一般情況下CISCO和華為設備的配置方法基本相同，所以筆者按照在Cisco路由器上的設置語句制定了ACL規(guī)則，并將這些規(guī)則輸入到華為路由器上。由于CISCO默認自動添加DENY ANY ANY語句，所以筆者也想當然的認為華為路由器也會默認將這個命令添加。然而，在配置后卻發(fā)現(xiàn)所有ACL過濾規(guī)則都沒有生效，該過濾的數(shù)據(jù)包仍然被路由器正常轉發(fā)。

經過反復研究、查詢資料，筆者發(fā)現(xiàn)原來華為公司的訪問控制列表在結尾處添加的是“PERMIT ANY ANY”語句，這樣對于不符合訪問控制列表（ACL）語句設定規(guī)則的數(shù)據(jù)包將容許通過，這樣造成了一個嚴重后果，那就是不符合ACL設定規(guī)則的數(shù)據(jù)包也將被路由器無條件轉發(fā)而不是Cisco公司采用的丟棄處理，這造成了該過濾的數(shù)據(jù)包沒有被過濾，網內安全岌岌可危。非法數(shù)據(jù)包繞過了網絡管理員精心設置的防病毒“馬其諾防線”，從而輕而易舉的侵入了用戶的內網。

解決措施：

如何解決這個問題呢？這個問題是因為華為路由器的默認設置造成的。我們可以在ACL的最后添加上“DENY ANY ANY”語句或將默認的ACL結尾語句設置為DENY ANY ANY。頭一種方法僅僅對當前設置的ACL生效，以后設置新ACL時路由器還是默認容許所有數(shù)據(jù)包通過；而第二種方法則將修改路由器的默認值，將其修改成和CISCO設備一樣的默認阻止所有數(shù)據(jù)包。

1、ACL規(guī)則直接添加法

在華為設備上設置完所有ACL語句后再使用“rule deny ip source any destination any”將沒有符合規(guī)則的數(shù)據(jù)包實施丟棄處理。

2．修改默認設置法

在華為設備上使用“firewall default deny”，將默認設置從容許轉發(fā)變?yōu)閬G棄數(shù)據(jù)包。從而一勞百逸的解決默認漏洞問題。因此筆者推薦大家使用第二種方法解決這個默認設置的缺陷問題。

總結：