除了黑客攻击之外，ADSL用户还在饱受病毒、木马的威胁。尽管ADSL用户在电脑中安装了专业的杀毒软件，以及防火墙软件，可病毒或木马仍然不请自来，因为大量病毒或木马已经具备了免杀能力，可以轻松躲过杀毒软件的严密监控。“现在最怕的不是用杀毒软件查出病毒，而是用杀毒软件查不出毒，”这是一些ADSL用户对日益泛滥的免杀木马或病毒的生动写照。
　　对于使用路由器共享ADSL上网的用户来说，可以对路由器进行全面设置，让路由器这款网络设备也具备防范病毒和防攻击的能力。路由器是一款提供共享上网服务的设备，怎么会防范病毒和木马呢?
　　路由器是如何防范病毒木马的?
　　从技术角度来讲，只有集成了防火墙功能的路由器才具备防范病毒木马的能力，这是一个大前提。如果用户的路由器没有防火墙功能组件，该路由器是不具备防范病毒木马能力的，不过，目前大多数路由器都集成了防火墙功能组件。
　　更准确的讲，路由器防火墙中的一些具体设置，可以有效的防止病毒木马入侵，也可以禁止黑客对ADSL上网用户的扫描及入侵。举个例子来说，黑客要想对ADSL用户发起攻击，必须先扫描该ADSL用户当前的IP地址，没有IP地址，黑客是无法进行攻击的。
　　为此，路由器防火墙中的一些功能，可以从根源上杜绝来自外界的攻击。除此之外，诸如ARP这样非常顽固的病毒，现有的杀毒软件或防火墙软件很难防范，而具备IP与MAC地址绑定功能的路由器，则可以轻松防范ARP病毒。
　　
　　可以防范ARP病毒的绑定功能
　　在防火墙中，能够防范病毒、木马传播的一个安全设置选项就是IP过滤规则，通过设置IP过滤规则，可以关闭病毒传播的网络端口，这样路由器就可以将病毒拒之门外。
　　目前，由于家庭路由器防火墙组件的功能相对简单，其防范病毒的能力也非常有限，只能对一些借助网络传播的病毒进行防范，并防范一些来自外界的网络攻击。下面，笔者结合实际情况介绍一下如何对路由器进行全面的安全设置，让路由器也能防病毒，防攻击。
　　路由器防范病毒设置篇
　　使用路由器中的防火墙组件可以防范病毒和木马的入侵，但并不能防范所有的病毒或木马，仅仅针对一部分利用网络漏洞传播的病毒或木马。诸如冲击波、震荡波这样的病毒，将病毒的传播端口关闭，病毒就不会再殃及ADSL用户了。以臭名昭著的“震荡波”病毒为例，使用路由器可以轻松防范该病毒的传播。
　　由于“震荡波”病毒是利用TCP 5544端口下载病毒，然后借助TCP 9966端口创建远程Shell。另外，病毒还会通过TCP 445端口影响机器的网络性能。为此，我们只需要在路由器中，将TCP 5544端口、TCP 9966端口和TCP 445端口关闭，就可以防范震荡波病毒的传播了。以TP-Link WR641G/642G无线路由器为例，具体做法如下：
　　1、开启IP地址过滤功能：
　　在“安全设置”选项中，先启用防火墙，因为要想启用IP地址过滤功能，必须启用防火墙。
　　
　　启用路由器防火墙
　　2、设置IP地址过滤：
　　点击“添加新条目”后，出现一个对话框，我们可以根据提示填写。“局域网IP地址”一栏中，填写共享路由器上网的用户IP地址就可以了，如果是多台机器，可以填写起始IP和结束IP。
　　如IP地址为192.168.1.3的电脑在共享路由器上网，“局域网IP地址”一栏中填入192.168.1.3就可以了，端口填写5544。
　　在“广域网IP地址”一栏中，无需填写任何IP地址，因为我们要禁止广域网所有IP地址的5544端口与192.168.1.3电脑进行通讯。
　　广域网端口仍然填写5544，协议为TCP，“通过”一栏中设置为“禁止通过”就可以了。
　　
　　IP地址过滤规则
　　这样，我们就通过路由器的IP地址过滤功能，关闭了TCP 5544端口。同样的道理，我们可以关闭TCP 445和TCP 9966端口。
　　3、保存过滤规则：
　　IP地址过滤规则设置完成之后，点击保存就可以了。这样，凡是来自广域网TCP 5544端口的数据都会被路由器自动拦截，病毒自然就无法传播了。
　　总 结：
　　要想使用路由器拦截病毒传播，必须了解病毒传播时所占用的端口，这样才能利用IP地址过滤功能拦截病毒传播通道。对于ARP病毒的防范，选择路由器中的“IP与MAC绑定”功能，将IP地址与MAC地址绑定就可以了。
　　路由器防范网络攻击篇
　　DDoS攻击，恶意的流量攻击，都是困扰ADSL用户的难题，因为这些恶意攻击会消耗ADSL的带宽，严重的会影响ADSL用户的正常使用。由于目前没有软件能够应对诸如DDoS这样的攻击，路由器防范网络攻击的作用日益凸显。
　　目前，很多厂商推出的家庭用路由器中都集成了防范网络攻击的功能组件，用户只要启用该功能模块即可。以TP-Link WR641G/642G无线路由器为例，介绍一下如何设置才能让路由器防范网络攻击。
　　1、启用“忽略来自WAN口的Ping”：
　　只要路由器拨号成功就会拥有一个公网IP地址，互联网中的任何一台机器都能Ping到路由器，这无疑是一个非常大的安全风险。一旦大量的肉机Ping路由器，路由器便会不堪重负而罢工。为此，笔者强烈建议用户启用“忽略来自WAN口的Ping”，这样可以最大限度的防范网络攻击。
　　
　　忽略WAN口的Ping
　　2、启用防DoS攻击：
　　DDoS攻击素有网络顽疾之称，WR641G/642G路由器中提供了防范DoS攻击的功能。只要启用该功能就可以了。不过，启用该功能之后，网络传输性能会受到微小的影响。
　　3、合理启用其他攻击：
　　除了防DoS攻击之外，WR641G/642G路由器还提供了ICMP-Flood攻击等多种防范网络攻击的选项。在日常使用中，用户可以根据实际情况进行启用。如果没有受到攻击，建议不要启用这些选项，因为启用这些防网络攻击是以牺牲网络速率为代价的。
　　在实际应用中，路由器的防范网络攻击设置，只启用“忽略来自WAN口的Ping”即可，其他选项根据实际情况来进行设置。
　　结 束 语：
　　如今，路由器已经不仅仅是一款可以共享ADSL宽带的网络设备，也是一个具备安全功能的网络设备。只要对路由器的安全选项进行全面合理的设置，网络设备也能具备防范病毒和网络攻击的能力。