由器安全对于网吧来讲常重要的,如何真正的做好网吧中的网络安全呢?这里就给大家设置宽带由网关,让网吧更加的安全。在网络中常见的病毒有冲击波,震荡波,还有蠕虫病毒等。对付这些病毒,HiPER的主要策略是先防再查后杀。 在HiPER宽带由网关中,设置有强大的防火墙功能,独特的包过滤由技术可以实现按照包的MAC地址、IP地址、协议、端口甚至内容等进行过滤,特别是支持多个站点、关键字和URL过滤。对于类似冲击波这样的常见病毒,HiPER宽带由网关中设置好了相应的防火墙策略,用户只需在配置好的策略库中直接引用即可。当然,这样只能防住来自网络的病毒,用户如果用存储工具如优盘等使得主机感染病毒,就要通过HiPER的WEB管理界面来查看了。在WebUI上网页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:协议为TCP,外网端口为135/139/445/1025/4444/5554/9996等;会话中该主机有上传包,下载包往往很小或者为0。查到以后,需要做的就是把该主机从内网断开,然后在安全网关上配置相应的策略,关闭病毒向外发包的端口。 冲击波只是强大的蠕虫病毒家族中比较典型的一个,而其他的病毒如SQL蠕虫病毒,以及一些由此而发展出来的变种病毒,同样会给网络带来巨大的灾难。虽然各种病毒形式各不相同,但是原理相差不大,针对他们的共同特点,通过端口扫描,来感染。HiPER的防火墙策略可以应用在任何一个接口上,防止端口扫描,判别蠕虫病毒的。 网吧路由器设置方法防 相对于的蠕虫病毒感染带来的损失,网吧黑客人为的主动更让人头疼,如伪造源地址的DDOS,ARP等。对于这些,HiPER宽带由网关可以通过应用在接口的防火墙策略端口扫描,防止DDOS,和ARP。 对于内网出现的伪造源地址的DDOS,可以通过HiPER宽带由网关的界面轻易的检查出来。所谓的伪造源地址就是黑客机器向主机发送大量伪造源地址的报文,占用安全网关的NAT会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。具体表现在Web界面的NAT状态中,可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户。在用户统计信息中,可以看到安全网关接收到某用户发送的海量的数据包,但是安全网关发向该用户的数据包很小,依此判断该用户可能在做伪造源地址。解决办法就是将该主机从内网断开,然后在HiPER宽带由网关中配置策略只允许内网的网段连接安全网关,让安全网关主动伪造的源地址发出的TCP连接。 所谓ARP就是内网某台主机伪装成网关,内网其他主机将所有发往网关的信息发到这台主机上。但是由于此台主机的数据处理转发能力远远低于网关,所以就会导致大量信息堵塞,网速越来越慢,甚至造成网络瘫痪,这样做的目的就是为了截取用户的信息,盗取诸如网络游戏帐号,QQ密码等用户信息。域网内某台主机运行ARP的木马程序时,其他用户原来直接通过由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。当ARP的木马程序停止运行时,用户会恢复从由器上网,切换过程中用户会再断一次线。 这个消息代表了用户的MAC地址发生了变化,在ARP木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址。既然我们已经知道了使用ARP木马的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有“传奇木马”在做怪,可以找到装有木马的PC的IP和MAC地址。当然,如果用HiPER对内网的用户实施IP/MAC绑定的话,用户就不能随便改变自己的MAC地址,也就可以避免ARP这样的事情了。对于ARP还可以有另一种解决方法,就是设置由器定时向内网主机发送ARP,也就是告诉各主机真正的网关在哪里。这样就可以避免别的主机冒充网关。HiPER允许设置ARP的频率,同时不允许让别人冒充自己。 网吧还有一种用户行为会影响到其他人的上网,那就是BT下载,如果内网有用户使用BT下载的话,就会占尽几乎所有内网带宽,导致网络瘫痪,具体表现为网页打不开或者打开很慢,聊天的消息发不出去,游戏出现卡的现象。对于这种行为,在HiPER宽带由网关中主要可以利用带宽控制功能。HiPER的带宽控制使用了灵活的CBT(基于信用的流量控制)算法。CBT算法主要实现内部网络公平带宽的分配,BT、电驴等P2P下载的超常流量。CBT算法采用社会工程学原理,对网络内部的各个主机给予带宽信用,一旦某些主机的流量超过信用太多,采取惩罚措施,降低这些主机的带宽。 对于BT下载的预防主要是利用CBT为网内用户限定最高带宽,这样就能了用户BT下载,占用别人带宽的问题。当然,基于社会工程学原理信用机制的CBT算法对于BT等P2P工具的下载的管理更具人性化。在内网使用BT下载的用户的信用会随着占用带宽的突然增加而急剧下降,随着信用的下降,该用户可使用的带宽会减少,这样的机制更具有弹性。二者结合使用效果更佳。另外,HiPER也可以通过WEB界面的配置实现一键封常见的P2P软件使用,如BitComet,比特精灵,电驴,电骡,迅雷搜索资源。 |
不良信息举报Q:2000617|Archiver|ROS软路由论坛 ROSABC.com 网络方案网络工程交流
GMT+8, 2024-11-1 13:36 , Processed in 0.031274 second(s), 15 queries .
Powered by Discuz! X3.4
Copyright © 2001-2021, Tencent Cloud.